XLoader僵尸网络新型变种在算法中引入概率论以隐藏真正的C2服务器地址

《CheckPoint》2022年5月31日发布报告称,监测发现XLoader僵尸网络新型变种在代码逻辑的关键部分进行了重大更新,在算法中引入概率论以隐藏新启用的C2服务器地址。这使得XLoader恶意软件运营商不会因为C2服务器地址被频繁识别而不得不持续更换网络基础设施,同时也减少了攻击者被溯源的风险。研究人员表示,新版本的XLoader将真正的C2服务器域名隐藏在包含63个诱饵域名的配置文件中,恶意程序每次运行会从配置文件中随机选择16个域创建列表,逐一访问列表中的域名后,恶意程序会再次随机选择8个域名对列表中的前8个值进行覆盖。通过此种方式持续访问不同域名,XLoader能够有效的欺骗自动化检测脚本,防止其真实C2地址被快速发现。XLoader僵尸网络是Formbook恶意软件的升级版,自2020年10月开始,以恶意软件即服务的形式在Darknet等黑客论坛进行销售。恶意软件运营者宣称,Xloader是现有最优秀的僵尸网络下载器,支持跨平台传播,并能够从多种主流应用程序中提取存储的密码。