Il mondo della sicurezza informatica è sempre in movimento e uno dei recenti sviluppi è l'uso da parte dei cybercriminali di strumenti legittimi per diffondere malware. Un esempio di questo è l'uso di Eclipse Jarsigner per distribuire il malware XLoader attraverso archivi ZIP. Questo metodo sfrutta una tecnica chiamata side-loading di DLL, che consente di caricare DLL malevoli utilizzando un'applicazione legittima, in questo caso, il jarsigner.exe, un file associato al pacchetto IDE distribuito dalla Eclipse Foundation.

AhnLab Security Intelligence Center (ASEC) ha osservato che i malintenzionati distribuiscono il malware sotto forma di un archivio ZIP compresso, contenente l'eseguibile legittimo e le DLL che vengono caricate per avviare il malware. Una volta eseguito il file "Documents2012.exe", il processo avvia la libreria DLL manipolata "jli.dll", che a sua volta carica il payload XLoader. Il malware decifra e inietta il file "concrt140e.dll" nel file legittimo "aspnet_wp.exe", permettendo al malware di eseguire le proprie attività malevole senza destare sospetti.

XLoader, successore del malware Formbook, è stato rilevato per la prima volta nel 2020 e viene venduto come Malware-as-a-Service (MaaS), rendendolo accessibile a diversi attori del crimine informatico. Le versioni 6 e 7 di XLoader includono ulteriori livelli di offuscamento e crittografia per proteggere il codice critico e per complicare il reverse engineering, come evidenziato da Zscaler ThreatLabz.

Un ulteriore aspetto interessante di questo malware è l'uso di liste di decoy codificate per mescolare le comunicazioni di comando e controllo (C2) reali con il traffico verso siti web legittimi. Questo stratagemma, simile a quello utilizzato da altre famiglie di malware come Pushdo, serve a mascherare il traffico C2 reale generando traffico verso domini legittimi.

L'uso del side-loading di DLL non è una novità nel panorama delle minacce informatiche. Recentemente, anche il gruppo SmartApeSG ha abusato di questa tecnica per distribuire il RAT NetSupport attraverso siti web legittimi compromessi con iniezioni di JavaScript, con l'obiettivo di diffondere ulteriori malware come il ladro StealC.

Parallelamente, Zscaler ha anche analizzato altri loader di malware come NodeLoader e RiseLoader, che distribuiscono una vasta gamma di ladri di informazioni, miner di criptovalute e botnet. Questi loader condividono somiglianze nelle loro comunicazioni di rete, suggerendo che possano essere opera dello stesso gruppo di minaccia.