Getarnter Infostealer

Security-Forscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cybersicherheitslösungen, haben mit Hilfe generativer KI einen großen Fortschritt bei der Analyse moderner Schadsoftware erzielt.

Das Team von Check Point Research (CPR) konnte die neueste Version der XLoader-Malware – einen der am besten getarnten Infostealer weltweit – in Rekordzeit entschlüsseln und analysieren .

Das Wichtigste auf einen Blick:

• XLoader 8.0 gilt als einer der am schwersten zu enttarnenden Infostealer. Er nutzt mehrschichtige Verschlüsselung, gefälschte Domains und ständige Updates, um sich zu verstecken.
• Check Point Research setzte generative KI ein, um automatisch Verschlüsselungsebenen zu erkennen, Funktionen zu entschlüsseln und versteckte Command-and-Control-(C2)-Server aufzuspüren.
• Dadurch konnten über 100 zuvor verborgene Funktionen und 64 versteckte C2-Domains offengelegt werden.
• Das Ergebnis: schnellere Bedrohungserkennung, effizientere Analysen und besserer Schutz für Anwender und Unternehmen weltweit.

Abbildung – Schaubild der KI-gestützten Analysemethode von CPR (Quelle – Check Point Software Technologies Ltd.)

XLoader ist der Nachfolger der berüchtigten FormBook-Malware und seit Jahren ein harter Gegner für Sicherheitsteams. Durch ausgeklügelte Verschlüsselung, dynamische Codeanpassung und Anti-Sandbox-Techniken entzieht er sich klassischen Analyseverfahren – die Entschlüsselung konnte bislang mehrere Tage dauern.

Mit der neuen, KI-gestützten Methodik von Check Point verkürzt sich dieser Prozess nun auf wenige Stunden. Die eingesetzte generative KI kombiniert statische und dynamische Analysen, erkennt eigenständig Verschlüsselungsalgorithmen, rekonstruiert Datenstrukturen und erstellt Python-Skripte, die automatisch zur Entschlüsselung genutzt werden.

„Diese Technologie zeigt, wie generative KI das Tempo und die Präzision der Malware-Analyse massiv steigern kann“, erklärt ein Sprecher von Check Point Research. „Analysten werden nicht ersetzt – sie werden befähigt, Bedrohungen schneller und tiefergehend zu verstehen.“

Bei der Untersuchung von XLoader stießen die Forscher unter anderem auf eine mehrschichtige RC4-Verschlüsselung, versteckte Windows-API-Aufrufe und neue Mechanismen zur Umgehung von Sandbox-Umgebungen.

Die Erkenntnisse sind inzwischen in die Bedrohungsdatenbanken von Check Point eingeflossen und stärken weltweit die Schutzmechanismen für Unternehmen und Endnutzer. Der Fall XLoader verdeutlicht, wie stark generative KI die tägliche Arbeit von Cybersecurity-Teams verändert – von langwieriger, manueller Analyse hin zu einem schnellen, KI-unterstützten Verständnis komplexer Malware-Strukturen.