Xloader: Evolution einer Malware zum Malware-as-a-Service

Hacker können mit Malware-as-a-Service Erpressungs-Software abonnieren

[datensicherheit.de, 23.02.2022] Sogenannte Malware-as-a-Service (MaaS) etabliert sich offensichtlich als Geschäftsmodell für Cyber-Kriminelle, so die aktuelle Warnung der „ThreatlabZ“-Analysten von Zscaler – als Beispiel wird „Xloader“ genannt. Bei diesem „Infostealer“ handele es sich um den Nachfolger von „Formbook“, der seit Anfang 2016 in Hacker-Foren verkauft worden sei. „Formbook“ sei den Kunden mit einem web-basierten Command-and-Control-Panel zur Verfügung gestellt worden, womit sie ihre eigenen Bot-Netze hätten verwalten können. 2017 sei der Quell-Code des „Formbook“-Panels durchgestochen worden, woraufhin der Akteur dahinter zu einem anderen Geschäftsmodell übergegangen sei: „Anstatt eine voll funktionsfähige Ausrüstung zum Daten- und Informations-Klau zu vertreiben, wird die C2-Infrastruktur an die Kunden nur noch vermietet.“ Dieses Malware-as-a-Service-Geschäftsmodell sei vermutlich profitabler und erschwere außerdem den erneuten Diebstahl des Codes. Im Oktober 2020 seien „Formbook“ dann in „Xloader“ umbenannt und dabei wesentliche Verbesserungen durchgeführt worden, insbesondere in Bezug auf die Verschlüsselung des Command-and-Control-Netzwerks (C2).

Foto: Zscaler

Mark Lueck: Drohung, gestohlene sensible Daten zu veröffentlichen, setzt Opfer unter größeren Druck, Lösegeld zu zahlen

Malware als Dienst verbrecherischer Gruppierungen auf Basis eines Abonnements

Da „Infostealer“ im Zuge von Ransomware-Angriffen zum Diebstahl vertraulicher Informationen eingesetzt würden und als Druckmittel zur Monetarisierung fungierten, lasse sich die Popularität des Geschäftsmodells somit einfach erklären. Ähnlich wie legale Software-as-a-Service-Angebote werde Malware dabei als Dienst von verbrecherischen Gruppierungen auf Basis eines Abonnements angeboten.

Die kriminellen Anbieter stellten eine Plattform bereit, welche es auch Angreifern ohne Programmier-Kenntnis ermögliche, kriminelle Machenschaften zu verfolgen. „Hat ein Ransomware-Angriff zum Erfolg geführt, wird das gezahlte Lösegeld zwischen dem Dienstanbieter, dem Programmierer und dem Abonnenten geteilt.“

Xloader als gut entwickelte Malware kann Ermittler in die Irre zu führen

• Stehlen von Anmeldedaten aus Webbrowsern und anderen Anwendungen.
• Erfassen von Tastenanschlägen.
• Erstellen von Bildschirmfotos.
• Stehlen von Passwörtern.
• Herunterladen und Ausführen zusätzlicher Binärdateien.
• Ausführen von Befehlen.

„Xloader“ sei eine gut entwickelte Malware, welche über zahlreiche Techniken verfüge, um Ermittler in die Irre zu führen und die Malware-Analyse zu erschweren. Dazu dienten unter anderem mehrere Verschlüsselungsebenen sowie eine eigene virtuelle Maschine. Obwohl die Autoren den „Formbook“-Zweig aufgegeben hätten, um sich auf den Nachfolger „Xloader“ zu konzentrieren, seien beide Stämme noch aktiv.

Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre

„Formbook“ werde nach wie vor von Hackern verwendet, welche den durchgesickerten Panel-Quellcode nutzten und das C2 selbst verwalteten, während die ursprünglichen Autoren nun die neue Variante als MaaS verkauften sowie die Server-Infrastruktur unterstützten und vermieteten. Es überrasche daher nicht, dass diese Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre gewesen sei.

„Xloader“ verwende HTTP zur Kommunikation mit dem C2-Server. Eine HTTP-GET-Anfrage werde als eine Art von Registrierung gesendet. Anschließend stelle die Malware HTTP-POST-Anfragen an den C2-Server, um Informationen, wie Screenshots oder gestohlene Daten, abzugreifen. In beiden Fällen hätten die GET-Parameter und die POST-Daten ein ähnliches Format und würden verschlüsselt. Darüber hinaus verwende „Xloader“ vielschichtige Block-Strukturen der Verschlüsselung von Daten und Code, um der Entdeckung zu entgehen und Malware-Analysten in die Irre zu führen.

Infostealer-Malware spielt in Ransomware-Szenarien wichtige Rolle

„,Infostealer‘ spielen in Ransomware-Szenarien eine wichtige Rolle, da Angreifer auf ,Double-Extortion‘ Mechanismen setzen. Somit erhöhen sie ihre Chance zur Monetarisierung des Angriffs über die bloße Geiselnahme von Daten hinaus“, erläutert Mark Lueck, „CISO EMEA“ bei Zscaler. Die Drohung, gestohlene sensible Daten zu veröffentlichen, setze die Opfer unter größeren Druck, das Lösegeld zu zahlen.

Organisationen täten daher gut daran, ihre Möglichkeiten zur Prävention der häufigsten Arten der Cyber-Kriminalität zu evaluieren, rät Lueck und führt aus: „Zu effektiven Maßnahmen zählen auch Faktoren wie das Begrenzen von lateralen Bewegungen von Angreifern in einem Netzwerk oder ,Data Leakage Prevention‘, um den unbemerkten Abfluss von Daten zu verhindern.“

Weitere Informationen zum Thema:

zscaler, Insights and Research, 21.01.2022
Analysis of Xloader’s C2 Network Encryption

datensicherheit.de, 24.01.2022
DTPacker: Neue Malware vereint Fähigkeiten zweier Schadsoftware-Formen / Im Rahmen Dutzender Malware-Kampagnen von verschiedenen cyber-kriminellen Gruppen zum Einsatz gebracht