Die Evolution einer Malware hin zu Malware-as-a-Service am Beispiel von Xloader

Malware-as-a-Service (MaaS) etabliert sich als Geschäftsmodell für Cyberkriminelle, wie die ThreatlabZ-Analysten von Zscaler am Beispiel von Xloader zeigen. Bei dem Infostealer namens Xloader handelt es sich um den Nachfolger von Formbook, der seit Anfang 2016 in Hacker-Foren verkauft wurde. Formbook war den Kunden mit einem webbasierten Command-and-Control-Panel zur Verfügung gestellt worden, womit sie ihre eigenen Bot-Netze verwalten konnten. Im Jahr 2017 ist der Quell-Code des Formbook-Panels durchgesickert, woraufhin der Akteur dahinter zu einem anderen Geschäftsmodell überging: Anstatt eine voll funktionsfähige Ausrüstung zum Daten- und Informations-Klau zu vertreiben, wird die C2-Infrastruktur an die Kunden nur noch vermietet. Dieses Malware-as-a-Service-Geschäftsmodell ist vermutlich profitabler und erschwert außerdem den erneuten Diebstahl des Codes. Im Oktober 2020 wurde Formbook dann in Xloader umbenannt und dabei wesentliche Verbesserungen durchgeführt, insbesondere in Bezug auf die Verschlüsselung des Command-and-Control-Netzwerks (C2).

Da Infostealer im Zuge von Ransomware-Angriffen zum Diebstahl vertraulicher Informationen eingesetzt werden und als Druckmittel zur Monetarisierung fungieren, lässt sich die Popularität des Geschäftsmodells somit einfach erklären. Ähnlich wie legale Software-as-a-Service-Angebote wird Malware als Dienst von verbrecherischen Gruppierungen auf Basis eines Abonnements angeboten. Die kriminellen Anbieter stellen eine Plattform bereit, die es auch Angreifern ohne Programmier-Kenntnis ermöglicht, kriminelle Machenschaften zu verfolgen. Hat ein Ransomware-Angriff zum Erfolg geführt, wird das gezahlte Lösegeld zwischen dem Dienstanbieter, dem Programmierer und dem Abonnenten geteilt.

Xloader bietet unter anderem die folgenden Möglichkeiten:

  • Stehlen von Anmeldedaten aus Webbrowsern und anderen Anwendungen.
  • Erfassen von Tastenanschlägen.
  • Erstellen von Bildschirmfotos.
  • Stehlen von Passwörtern
  • Herunterladen und Ausführen zusätzlicher Binärdateien.
  • Ausführen von Befehlen.

Xloader ist eine gut entwickelte Malware, die über zahlreiche Techniken verfügt, um Ermittler in die Irre zu führen und die Malware-Analyse zu erschweren. Dazu dienen unter anderem mehrere Verschlüsselungsebenen sowie eine eigene virtuelle Maschine. Obwohl die Autoren den Formbook-Zweig aufgegeben haben, um sich auf den Nachfolger Xloader zu konzentrieren, sind beide Stämme noch aktiv. Formbook wird nach wie vor von Hackern verwendet, die den durchgesickerten Panel-Quellcode nutzen und das C2 selbst verwalten, während die ursprünglichen Autoren nun die neue Variante als MaaS verkaufen sowie die Serverinfrastruktur unterstützen und vermieten. Es überrascht daher nicht, dass diese Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre war.

Xloader verwendet HTTP zur Kommunikation mit dem C2-Server. Eine HTTP-GET-Anfrage wird als eine Art von Registrierung gesendet. Anschließend stellt die Malware HTTP-POST-Anfragen an den C2-Server, um Informationen, wie Screenshots oder gestohlene Daten, abzugreifen. In beiden Fällen haben die GET-Parameter und die POST-Daten ein ähnliches Format und werden, wie unten dargestellt, verschlüsselt.

Darüber hinaus verwendet Xloader vielschichtige Block-Strukturen der Verschlüsselung von Daten und Code, um der Entdeckung zu entgehen und Malware-Analysten in die Irre zu führen.

Marc Lueck, CISO EMEA bei Zscaler

„Infostealer spielen in Ransomware-Szenarien eine wichtige Rolle, da Angreifer auf Double-Extortion Mechanismen setzen. Somit erhöhen sie ihre Chance zur Monetarisierung des Angriffs über die bloße Geiselnahme von Daten hinaus. Die Drohung, gestohlene sensible Daten zu veröffentlichen, setzt die Opfer unter größeren Druck, das Lösegeld zu zahlen“, so Mark Lueck, CISO EMEA bei Zscaler, „und Organisationen tun gut daran, ihre Möglichkeiten zur Prävention der häufigsten Arten der Cyber-Kriminalität zu evaluieren. Zu effektiven Maßnahmen zählen auch Faktoren wie das Begrenzen von lateralen Bewegungen von Angreifern in einem Netzwerk oder Data-Leakage-Prevention, um den unbemerkten Abfluss von Daten zu verhindern.“

Mehr technische Details: https://www.zscaler.com/blogs/security-research/analysis-xloaders-c2-network-encryption

Zscaler