Недавняя кампания по распространению вредоносного ПО XLoader через легитимное приложение, связанное с Eclipse Foundation использует метод боковой загрузки DLL (Dynamic Link Library) для внедрения вредоносного кода в законные процессы — это не новость, но эффективность таких атак продолжает расти.
Злоумышленники использовали переименованный легитимный файл jarsigner.exe, чтобы загрузить модифицированную библиотеку jli.dll. Эта библиотека, в свою очередь, расшифровывает и внедряет вредоносную полезную нагрузку — XLoader. Вредоносное ПО крадёт конфиденциальные данные, такие как информация о системе и браузере, а также может загружать дополнительные вредоносные программы.
- Использование легитимных инструментов: Атака маскируется под законное ПО, что затрудняет её обнаружение. Пользователи и даже некоторые системы защиты могут не заподозрить ничего необычного, ведь файлы выглядят "чистыми".
- Многослойная обфускация: XLoader использует сложные методы шифрования и обфускации, чтобы скрыть свой код и усложнить анализ. Это делает его устойчивым к традиционным методам обнаружения на основе сигнатур.
- Маскировка сетевого трафика: Вредоносное ПО генерирует трафик на легитимные сайты, чтобы скрыть реальные коммуникации с серверами командования и управления (C2). Это усложняет обнаружение атаки сетевыми анализаторами.
Киберпреступники быстро адаптируются к современным мерам защиты. Они используют доверие пользователей к известным брендам (в данном случае Eclipse Foundation) и легитимным инструментам для своих целей. Боковая загрузка DLL — это мощный метод, который позволяет обойти многие системы защиты, особенно если пользователь невольно запускает вредоносный код, думая, что это что-то безопасное.
- Осторожность с архивами: Не открывайте ZIP-архивы из непроверенных источников. Даже если файл выглядит легитимным, он может содержать скрытые угрозы.
- Обновление ПО: Убедитесь, что все программы, особенно связанные с разработкой (IDE, компиляторы и т.д.), обновлены до последних версий.
- Мониторинг процессов: Используйте решения для мониторинга процессов и сетевого трафика, которые могут обнаружить аномалии, такие как загрузка подозрительных DLL.
- Обучение сотрудников: Если вы работаете в компании, убедитесь, что сотрудники знают о рисках и не запускают непроверенные файлы.
XLoader — это не просто очередной троян, а сложный инструмент, который продолжает эволюционировать. Его использование легитимных приложений и методов боковой загрузки DLL делает его особенно опасным.
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
+7 978 214 29 87 — Севастополь