يشهد برنامج XLoader الضار، المعروف بسرقة المعلومات، تحديثات جذرية في إصداراته الأخيرة، مما يزيد بشكل كبير من صعوبة اكتشافه وتحليله مقارنة بالإصدارات السابقة.
هذا البرنامج، المشتق أساساً من عائلة برامج FormBook الضارة التي ظهرت لأول مرة في عام 2016، أعيد تسميته وإطلاقه في أوائل عام 2020. منذ ذلك الحين، يواصل مطوروه باستمرار طرح تحديثات جديدة للحفاظ على فعاليته ضد أنظمة الدفاع الحديثة.
يستهدف XLoader بشكل أساسي متصفحات الويب، وعملاء البريد الإلكتروني، وتطبيقات نقل الملفات (FTP) لسرقة كلمات المرور، وملفات تعريف الارتباط، وغيرها من بيانات الاعتماد الحساسة من الأنظمة المخترقة.
إضافة إلى سرقة البيانات، يمتلك البرنامج القدرة على تنفيذ أوامر عشوائية ونشر برمجيات خبيثة إضافية على الأجهزة المصابة، مما يمنح المهاجمين نطاقاً واسعاً من التحكم.
الإصدار الأحدث الذي تم رصده هو 8.7، ويشهد تطويرًا مستمرًا لإضافة قدرات جديدة وتحسينات لتجنب الكشف مع كل تحديث.
يصل البرنامج الضار بشكل أساسي إلى الضحايا عبر رسائل البريد الإلكتروني التصيدية والمرفقات الخبيثة؛ وهي طرق وصول لا تزال فعالة لأنها تستغل السلوك البشري بدلاً من الاعتماد فقط على نقاط الضعف التقنية.
بمجرد إصابة النظام، يعمل XLoader بهدوء في الخلفية، جامعًا بيانات الاعتماد من متصفحات مثل Google Chrome وعملاء البريد الإلكتروني مثل Microsoft Outlook، ثم يرسل البيانات المسروقة إلى خوادم القيادة والتحكم (C2) بصيغة مشفرة ومموهة بعناية.
حدد باحثون في Zscaler أحدث تكرارات XLoader، مشيرين إلى أنه بدءًا من الإصدار 8.1، أدخل مطورو البرنامج الضار تقنيات تشويش (obfuscation) أكثر تقدمًا وتشفيرًا للشبكة مقارنة بالإصدارات السابقة.
كشف تحليلهم أن هذه التحديثات متعمدة ومنهجية، وتهدف إلى إحباط أدوات التحليل الآلي وجهود الهندسة العكسية اليدوية من قبل متخصصي الأمن.
التأثير الإجمالي لهذه التحديثات واسع النطاق. إن مزيج XLoader من سرقة البيانات، وتنفيذ الأوامر المرن، والتشويش العميق، يجعله تهديدًا مستمرًا للأفراد والمؤسسات بجميع أحجامها.
خلصت ThreatLabz إلى أن XLoader سيستمر في تشكيل خطر كبير في المستقبل، خاصة مع تزايد قدراته على التخفي، مما يسمح له بالبقاء غير مكتشف إلى حد كبير من قبل أنظمة الأمان التقليدية.
كيف يخفي XLoader حركة مرور القيادة والتحكم خلف خوادم وهمية
أحد أبرز جوانب سلوك XLoader المحدث هو كيفية إخفائه لخوادم القيادة والتحكم (C2) الحقيقية ضمن مجموعة كبيرة من العناوين الوهمية.
يحتوي البرنامج الضار على 65 عنوان IP لخوادم C2 في رموزه، لكن كل عنوان يتم تشفيره بشكل فردي ولا يتم فك تشفيره إلا عند وقت التشغيل وقبل استخدامه مباشرة، مما يجعل التحليل الثابت للبرنامج الثنائي صعبًا للغاية على الباحثين.
عندما يبدأ XLoader دورة اتصال، فإنه يختار عشوائيًا 16 عنوانًا من أصل 65 عنوان IP ويبدأ في إرسال طلبات HTTP إلى كل منها بالتتابع.
يتم إرسال كلا نوعي الطلبات الداخلية – طلبات POST التي تحمل بيانات الاعتماد المسروقة وطلبات GET التي تسترجع الأوامر – عبر هذه المجموعة بأكملها بشكل عشوائي.
يصعب هذا النهج على أنظمة تحليل البرامج الضارة (sandboxes) وأدوات الكشف الآلي التمييز بين خوادم C2 الحقيقية والوهمية دون التحقق من الشبكة الحية لكل عنوان.
لحماية حركة المرور بشكل أكبر، يطبق XLoader طبقات تشفير متعددة باستخدام خوارزميات RC4 وتجزئة SHA-1 لعنوان URL لخادم C2.
.webp.jpeg)
يتم اشتقاق مفاتيح التشفير ديناميكيًا من بذرة عنوان URL لخادم C2 ولا يتم الكشف عنها إلا في مراحل محددة من التنفيذ، مما يجعل اعتراض حركة المرور وحدها غير كافٍ لكشف أنشطة البرنامج الضار.
حتى لو كانت حركة المرور تنتقل عبر HTTP بنص عادي، فإن البيانات الفعلية تكون مغلفة بقدر كافٍ من التشفير لدرجة أن فك تشفيرها بدون المفاتيح الصحيحة يكاد يكون مستحيلاً.
يجب على فرق الأمن مراقبة أنماط حركة مرور HTTP غير العادية التي تتضمن طلبات متكررة مرسلة إلى عناوين IP متعددة خلال فترة زمنية قصيرة، خاصة عندما تتضمن هذه الطلبات معلمات مشفرة بـ Base64 بأسماء عشوائية.
يظل استخدام أدوات محاكاة الشبكة التي يمكنها إنشاء اتصالات فعلية والتحقق من استجابات الخادم هو الطريقة الأكثر موثوقية لفصل خوادم C2 الحقيقية عن الخوادم الوهمية.
يجب على المؤسسات أيضًا إبقاء أدوات الكشف عن نقاط النهاية محدثة لالتقاط نشاط XLoader، والذي يتم تتبعه حاليًا تحت المؤشر Win32.PWS.XLoader.
تابعنا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، واجعل CSN مصدرك المفضل في Google.
