Новости Троянца XWorm рассмотрели под микроскопом: представляет ли он реальную угрозу?

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Применение исследователями резидентского прокси позволило «разоблачить» загадочный вредонос.


frg0ho2xwoo1ucapqarcfqn8joxaxoaf.jpg


С момента своего первого появления в 2022 году, XWorm стал одним из наиболее неприятных троянов удалённого доступа ( RAT ). Аналитическая группа ANY.RUN решила Для просмотра ссылки Войди или Зарегистрируйся последней версии этого вредоносного ПО и поделилась своими результатами.

Рассмотренный образец XWorm был обнаружен в базе данных вредоносного ПО исследователей ANY.RUN. Изначально данный образец распространялся через сервис хостинга файлов MediaFire , упакованный в архив RAR и защищённый паролем.

<h4> Тактика и методы XWorm </h4> Попытка запуска троянца в песочнице выявила несколько ключевых техник вредоноса:

  • XWorm устанавливается в общедоступную папку;
  • XWorm использует планировщик заданий для перезапуска себя с повышенными привилегиями;
  • XWorm добавляет свой ярлык в папку автозапуска Windows;
  • XWorm подключается к удалённому серверу для получения команд.
<h4>Неудачная попытка обхода анализа</h4> Новая версия XWorm пыталась определить, работает ли она в виртуальной среде, и при обнаружении таковой прекращала свою работу. Чтобы обойти это, аналитики использовали функцию Residential Proxy , которая «обманула» вредоносное ПО, заменив IP-адрес на реальный из определённой страны.

После повторного запуска с включенным прокси XWorm был успешно запущен и начал свою деятельность. Первым делом вредонос отправил своему оператору собственную версию, имя пользователя компьютера, версию операционной системы и хэш.

<h4>Статический анализ нового варианта XWorm</h4> Исследовательский анализ показал, что рассмотренный вредонос являлся .NET -вариацией XWorm. Программное обеспечение было подвергнуто сильной обфускации, в то время как использование инструментов для деобфускации не принесло желаемого результата.

Заключение XWorm продолжает эволюционировать, представляя серьёзную угрозу в области кибербезопасности, в то время как углубленное расследование последних версий вредоносного ПО является крайне затратным по времени процессом для любого исследователя.

Для быстрого и эффективного анализа специалисты рекомендуют использовать готовые песочницы с настроенным обширным функционалом и большой базой данных по вредоносному ПО. Это поможет сберечь силы и драгоценное время.
 
Источник новости
www.securitylab.ru

Похожие темы