Xloader (FormBook) ist ein Infostealer, der auf Windows-Betriebssysteme abzielt. Er wird als Malware-as-a-Service (MaaS) in Untergrund-Hacking-Foren vermarktet und zeichnet sich durch seine starken Ausweichtechniken und seinen vergleichsweise niedrigen Preis aus.
Erfahren Sie hier, warum wie sich der Banking-Infostealer FormBook zum beliebten Malware-as-a-Service Xloader gewandelt hat und wie Sie sich davor schützen können.
Unser Beitrag über Xloader im Überblick:
Xloader: Der Nachfolger von FormBook
Mit dem 21. Jahrhundert hat sich das Abonnementsystem für verschiedene Produkte und Dienste zunehmend etabliert. Heute kann man von Filmen und Musik bis hin zu IT-Dienstleistungen so ziemlich alles im Abo bekommen. Es ist daher keine Überraschung, dass auch Cyberkriminelle seit einigen Jahren vermehrt auf dieses Modell zurückgreifen.
Malware-as-a-Service (MaaS), wozu auch Ransomware-as-a-Service (RaaS) gehört, hat sich als ein erfolgreiches Geschäftsmodell für Cyberkriminelle erwiesen. Eine besonders gefährliche Malware, die unter diesem Modell angeboten wird, ist Xloader, der Nachfolger von FormBook. Der Infostealer hat seit Anfang 2016 vor allem Finanzdienstleistern wie Banken und deren Kunden große Sorgen bereitet. Heute gehört Xloader als Weiterentwicklung von FormBook zu den aktuell relevantesten Schadprogrammen.
Xloader (FormBook) ist eine beliebte Malware bzw. ein Malware-as-a-Service, der von Kriminellen gebucht werden kann, um Fremdsysteme auszuspionieren und zu übernehmen. Bild: Pexels/Jessica Lewis
Herkunft und Entwicklung von Formbook und Xloader
Xloader ist der Nachfolger von FormBook, einer Malware, die seit Anfang 2016 aktiv ist. Ursprünglich wurde FormBook als voll funktionsfähiges Tool zur Verwaltung von Botnetzen angeboten. Im Jahr 2017 wurde jedoch der Quellcode des FormBook-Panels im Darknet veröffentlicht, was dazu führte, dass die Betreiber zu einem anderen Geschäftsmodell übergingen. Anstatt die gesamte Ausrüstung zur Verfügung zu stellen, begannen sie, ihre Command-and-Control-Infrastruktur (C2-Infrastruktur) an kriminelle Kunden zu vermieten. Das Malware-as-a-Service-Geschäftsmodell erwies sich als profitabler und erschwerte den Diebstahl des Codes.
Im Oktober 2020 wurde FormBook offiziell in Xloader umbenannt. Mit dieser Umbenennung einher gingen auch wesentliche Verbesserungen der Malware, insbesondere in Bezug auf die Verschlüsselung des C2-Netzwerks. Fleißige Cyberkriminelle konnten sich über diese Neuerungen freuen und ihren schädlichen Aktivitäten noch besser nachgehen.
Xloader als Malware-as-a-Service
Ähnlich wie bei legalen Software-as-a-Service-Angeboten wird auch Malware-as-a-Service von kriminellen Gruppen auf Abonnementbasis angeboten. Die kriminellen Anbieter stellen eine Plattform bereit, die es auch Angreifern ohne Programmierkenntnisse ermöglicht, kriminelle Machenschaften durchzuführen.
Wenn ein Angriff der Malware, in diesem Fall von Xlaoder, erfolgreich ist, wird das gezahlte Lösegeld zwischen dem Dienstanbieter, dem Programmierer und dem Abonnenten aufgeteilt. Es ist wichtig anzumerken, dass Xloader deswegen von verschiedenen Bedrohungsakteuren eingesetzt werden kann. Durch seine verschiedenen Infektionsmechanismen sowie den unterschiedlichen Möglichkeiten an Kombinationen mit anderen Cyberangriffen ist es möglich, dass Individuen und Betriebe verschiedener Branchen potenzielle Ziele der Malware sind. Nicht zuletzt deswegen wird Xloader/FormBook auch aktuell zu den relevantesten Malware-Programmen gezählt.
Die Infostealer FormBook und Xloader machen sich seit Jahren erfolgreich einen Namen. Bild: Pexels/picjumbo.com
Funktionen und Angriffsmethoden
Xloader ist ein Infostealer, der verschiedene Funktionen bietet, um infizierten Systeme auszuspionieren und sensible Daten zu stehlen. Unter den Funktionen von Xloader finden sich das
- Erfassen von Tastenanschlägen,
- Stehlen von Passwörtern und anderen Anmeldedaten aus Webbrowsern und Banking-Apps
- Erstellen von Bildschirmfotos,
- Herunterladen und Ausführen weiterer Malware sowie das
- Ausführen von Befehlen (Command and Control).
Um Xloader auf einem infizierten System auszubreiten, verwenden Kriminelle verschiedene Angriffsmethoden. Zu den häufigsten Methoden gehört der Einsatz von Phishing und Spear-Phishing. Dabei wird die Malware in einem bösartigen Dokument versteckt, das als Anhang in einer E-Mail verschickt wird. Sobald die Malware ausgeführt wird, injiziert sie Ihre Systeme. Ihr Code beinhaltet verschiedene Hooks, um unter anderem Tastatureingaben zu erfassen und Bildschirminhalten abzurufen. Die Malware kann auch Befehle von ihrem Betreiber (Command and Control) erhalten, um Informationen aus Browsern zu stehlen oder andere Malware herunterzuladen und auszuführen.
Verwendung von Xloader bei gezielten Angriffen
Obwohl Xloader potenziell auf jedes Unternehmen und jede Organisation abzielen kann, wurden in der Vergangenheit größere Kampagnen durchgeführt, die sich stringent gegen einzelne Branchen richteten. Zum Beispiel wurde Xloader im Jahr 2017 in kriminellen Kampagnen eingesetzt, die auf die Verteidigungs- und Luftfahrtindustrie abzielten.
Während des Krieges zwischen Russland und der Ukraine im Jahr 2022 wurde die Malware als Cyberkriegswaffe eingesetzt, um ukrainische Ziele anzugreifen. Es wird angenommen, dass Xloader als Nachfolger von FormBook zunehmend dafür eingesetzt werden wird, im Rahmen von APT (Advanced Persistent Threat) gegen Unternehmen aller Größen und Branchen eingesetzt zu werden, um gesamte Wirtschaften zu schwächen.
Xloader und FormBook wurden und werden vor allem bei gezielten Angriffen gegen Unternehmen oder Unternehmensbranchen eingesetzt. Bild: Pexels/RDNE Stock project
Exkurs: Technische Analyse der Malware
Bei der Kommunikation mit dem Command-and-Control-Server verwendet Xloader HTTP. Zunächst wird eine HTTP-GET-Anfrage als eine Art Registrierung gesendet. Anschließend werden HTTP-POST-Anfragen an den Server gestellt, um Informationen wie Screenshots oder gestohlene Daten abzurufen. Sowohl die GET-Parameter als auch die POST-Daten sind verschlüsselt und haben ein ähnliches Format.
Xloader verwendet mehrere Ebenen von verschlüsselten Daten- und Codeblöcken, um Malware-Analysten und Disassembler zu verwirren. Die Assembler-Anweisungen werden so manipuliert, dass sie wie ein Funktionsprolog aussehen, um die Analyse zu erschweren. Ein Beispiel für solche verschlüsselten Blöcke ist der sogenannte „PUSHEBP-encrypted-block“. Entsprechende Blöcke werden mit einem RC4-basierten Algorithmus in Kombination mit einer Codierungsschicht und einer benutzerdefinierten virtuellen Maschine (VM) entschlüsselt.
Einige dieser PUSHEBP-Blöcke enthalten verschlüsselte Zeichenfolgen und eine Liste von Command-and-Control-Domains, die dazu dienen, Analysten zu verwirren. Der echte Command-and-Control-Server ist separat gespeichert und mit einem komplexeren Verschlüsselungsschema geschützt. Die Netzwerkverschlüsselung in Xloader ist komplex. Durch eine RC4-Schicht mit einem komplizierten Algorithmus können Verschlüsselungsschlüssel abgeleitet werden.
Die Reihenfolge der PUSHEBP-Blöcke und die Zuordnungen zwischen dem Schalter und der Blocknummer variieren von Fall zu Fall. Dies erschwert die Analyse der Malware und erhöht die Komplexität ihrer Entschlüsselung.
Xloader: Prävention und Gegenmaßnahmen
Xloader, der Nachfolger von FormBook, stellt mit seinen vielfältigen Funktionen und Infektionsmethoden eine ernsthafte Bedrohung für Unternehmen und Organisationen dar. Durch umfassende technische Analysen können mittlerweile einige der Funktionsweisen und Verschlüsselungstechniken von Xloader verstanden werden. Es ist wichtig, dass Firmen aller Größen und Branchen entsprechend bekannte Präventionsmaßnahmen ergreifen, um ihre Systeme vor Xloader und anderer Malware professionell zu schützen.
Zu den effektiven Maßnahmen gehören die Begrenzung lateraler Bewegungen in einem Netzwerk und die Implementierung von IT-Sicherheitsmaßnahmen wie der Data Leakage Prevention, um den unbemerkten Abfluss von Daten zu verhindern. Darüber hinaus sollten Mitarbeiter mittels Security-Awareness-Schulungen über Social-Engineering-Methoden und andere bekannte Angriffstechniken aufgeklärt werden, um die Wahrscheinlichkeit einer Infektion zu verringern. Benötigen Sie Unterstützung bei dem professionellen Schutz Ihrer IT-Infrastruktur? Dann sind wir von PC-SPEZIALIST in Ihrer Nähe genau der richtige Ansprechpartner für Sie. Nehmen Sie jetzt den Kontakt auf!
_______________________________________________
Quellen: ZDNET, Check Point, Check Point, INFOPOINT SECURITY, IT Finanzmagazin, BlackBerry, Pexels/RDNE Stock project (Header-Bild)
Schreiben Sie einen Kommentar