21/09/23
С момента своего первого появления в 2022 году, XWorm стал одним из наиболее неприятных троянов удалённого доступа (RAT). Аналитическая группа ANY.RUN решила провести подробный разбор последней версии этого вредоносного ПО и поделилась своими результатами. Это передает Securitylab.
Рассмотренный образец XWorm был обнаружен в базе данных вредоносного ПО исследователей ANY.RUN. Изначально данный образец распространялся через сервис хостинга файлов MediaFire, упакованный в архив RAR и защищённый паролем.
Тактика и методы XWorm
Попытка запуска троянца в песочнице выявила несколько ключевых техник вредоноса:
- XWorm устанавливается в общедоступную папку;
- XWorm использует планировщик заданий для перезапуска себя с повышенными привилегиями;
- XWorm добавляет свой ярлык в папку автозапуска Windows;
- XWorm подключается к удалённому серверу для получения команд.
Неудачная попытка обхода анализа
Новая версия XWorm пыталась определить, работает ли она в виртуальной среде, и при обнаружении таковой прекращала свою работу. Чтобы обойти это, аналитики использовали функцию Residential Proxy, которая «обманула» вредоносное ПО, заменив IP-адрес на реальный из определённой страны.
После повторного запуска с включенным прокси XWorm был успешно запущен и начал свою деятельность. Первым делом вредонос отправил своему оператору собственную версию, имя пользователя компьютера, версию операционной системы и хэш.
Статический анализ нового варианта XWorm
Исследовательский анализ показал, что рассмотренный вредонос являлся .NET-вариацией XWorm. Программное обеспечение было подвергнуто сильной обфускации, в то время как использование инструментов для деобфускации не принесло желаемого результата.
ЗаключениеXWorm продолжает эволюционировать, представляя серьёзную угрозу в области кибербезопасности, в то время как углубленное расследование последних версий вредоносного ПО является крайне затратным по времени процессом для любого исследователя.
Для быстрого и эффективного анализа специалисты рекомендуют использовать готовые песочницы с настроенным обширным функционалом и большой базой данных по вредоносному ПО. Это поможет сберечь силы и драгоценное время.
