Xloader v8.1+ : nouvelles techniques d'obfuscation et protocole C2 détaillés
🔍 Contexte Publié le 31 mars 2026 par ThreatLabz (Zscaler), cet article constitue une analyse technique approfondie des évolutions introduites dans Xloader à partir de la version 8.1, un malware de type stealer/loader issu du rebranding de FormBook. 🛡️ Nouvelles techniques d’obfuscation (v8.1+) Xloader v8.1 introduit plusieurs améliorations significatives pour contrer l’analyse automatisée et le reverse engineering : Construction désordonnée des paramètres « eggs » : les marqueurs de début et de fin des fonctions chiffrées sont désormais construits dans un ordre aléatoire et octet par octet, rendant le pattern matching inefficace. Obfuscation des prédicats opaques : les valeurs constantes hardcodées sont chiffrées via des opérations XOR au niveau bit, y compris les octets de prologue de fonctions. Routine de déchiffrement personnalisée obfusquée : la fonction de déchiffrement passe désormais par une structure de paramètres contenant des valeurs hardcodées chiffrées (ex. : déchiffrement de la taille de la S-box via la valeur 0x25 + 0xDB). L’outil Miasm framework est recommandé pour reconstruire statiquement la pile obfusquée. 🌐 Protocole réseau et communication C2 Objectifs principaux d’Xloader : ...