Harán sudar a los analistas: hackers idean cómo convertir la vida de los expertos en TI en una pesadilla
Analizamos cómo un programa se impuso a toda una industria.
La nueva versión del programa malicioso Xloader ha complicado notablemente la labor de los especialistas en análisis de amenazas. Según expertos de Zscaler, los autores de la herramienta no solo actualizaron el código, sino que reestructuraron por completo los mecanismos clave de ofuscación y la comunicación con los servidores de mando, haciendo que el comportamiento del troyano sea menos predecible y más resistente a la detección.
Xloader es conocido desde hace tiempo como sucesor de FormBook, y en su código aún se conservan fragmentos obsoletos. Sin embargo, a partir de la versión 8.1 los desarrolladores han intensificado activamente las medidas contra el análisis. El foco principal se ha puesto en la ofuscación: el cifrado de cadenas y funciones con descifrado en tiempo de ejecución. Además, ahora los parámetros para el descifrado se generan de forma caótica, a veces byte a byte, sin un orden fijo. Este enfoque rompe las herramientas habituales de análisis automático y obliga a descomponer el código casi manualmente.
Los cambios también afectaron al ocultamiento de constantes. Si antes los valores se enmascaraban con operaciones sencillas, ahora se aplican esquemas más complejos con XOR y cálculos adicionales. Incluso elementos estándar de las funciones, como el prólogo, se codifican antes de la ejecución. Al mismo tiempo se ha rediseñado el propio algoritmo de descifrado: ahora utiliza estructuras con valores integrados que se descifran según sea necesario.
El comportamiento de red de Xloader sigue siendo un elemento clave del ataque. El malware recopila contraseñas, cookies y otros datos de navegadores y clientes de correo, y luego los envía al servidor de mando. Para la comunicación se usan solicitudes HTTP, pero sobre ellas se aplican varios niveles de cifrado. Además, el troyano puede elegir entre conexiones TCP directas y las API estándar de Windows, cambiando encabezados y comportamiento según las condiciones.
Otra complejidad es el trabajo con la infraestructura de mando. En Xloader están incrustadas 65 direcciones de servidores, de las cuales se elige aleatoriamente una parte para la comunicación. Entre ellas hay nodos falsos que ocultan los puntos de control reales. Verificar qué servidor es auténtico solo se puede haciendo la conexión y analizando la respuesta, lo que dificulta mucho la detección automática.
Antes de enviar los datos, el troyano cifra la información en varias etapas usando el algoritmo RC4 y claves derivadas de la dirección del servidor. Los comandos entrantes se procesan de forma similar: tras el doble descifrado, el malware extrae el identificador del comando y ejecuta las acciones. Entre las funciones disponibles están la descarga y ejecución de archivos, la actualización del propio troyano, la eliminación de rastros, el robo de datos e incluso el reinicio del sistema.
Los nuevos cambios muestran que los autores de Xloader continúan desarrollando activamente la herramienta, apostando por complicar el análisis y aumentar la resistencia frente a los mecanismos de defensa. Para los sistemas de seguridad, esta evolución significa un aumento de los costos de detección y la necesidad de un análisis más profundo del comportamiento del código malicioso.