Un reciente reporte de Check Point Research (CPR) señala la detección de una nueva variante de malware diseñada para infectar dispositivos Windows y macOS. Este malware fue identificado como XLoader y está a la venta por un precio considerablemente bajo dadas sus avanzadas capacidades.
En realidad esta es una variante del malware Formbook, que anteriormente se vendía en foros de dark web en una suscripción de $29 USD a la semana. Hace unos cinco años este malware fue retirado del mercado negro por su desarrollador, conocido como ng-Coder, quien permaneció inactivo hasta la aparición de XLoader.
Los investigadores han estado analizando este malware desde su aparición a inicios de 2021, lo que les permitió descubrir que XLoader contiene la misma base de código que Formbook aunque con algunos cambios notables, incluyendo la capacidad para infectar sistemas macOS.
Al igual que muchas otras variantes de malware, los ataques de XLoader comienzan con una campaña de phishing que tiene como fin enviar un archivo adjunto malicioso, generalmente documentos de Microsoft Word cargados con el malware. Una vez instalado en el sistema objetivo, este malware es capaz de monitorear las pulsaciones del teclado, tomar capturas de pantalla y extraer datos confidenciales.
El malware también cuenta con una amplia configuración C&C, empleando casi 90 mil dominios para sus comunicaciones de red. Los expertos mencionan que, de estos 90 mil dominios, aproximadamente 88 mil pertenecen a sitios web legítimos a los que el malware envía tráfico malicioso para desorientar a los investigadores: “Se presenta un problema al trata de determinar cuáles son los proveedores C&C controlados por los hackers”, menciona el reporte.
XLoader está disponible en foros de dark web por precios de entre $59 USD y $129 USD. El precio varía según el tiempo de suscripción y el tipo de sistema objetivo.
El reporte de Check Point concluye mencionando que se han identificado incidentes relacionados con XLoader en al menos 70 países, todos vinculados a un servidor C&C centralizado. El foco de actividad principal de este malware es Estados Unidos, con más de la mitad de los casos detectados en este territorio. Los expertos también afirman haber encontrado un vínculo entre ng-Coder y xloader, un usuario muy activo en los foros donde se vente esta herramienta, aunque los reportes mencionan que este es solo un vendedor del malware.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
