- 9,316
- 18
- 8 Ноя 2022
Применение исследователями резидентского прокси позволило «разоблачить» загадочный вредонос.
С момента своего первого появления в 2022 году, XWorm стал одним из наиболее неприятных троянов удалённого доступа ( RAT ). Аналитическая группа ANY.RUN решила Для просмотра ссылки Войдиили Зарегистрируйся последней версии этого вредоносного ПО и поделилась своими результатами.
Рассмотренный образец XWorm был обнаружен в базе данных вредоносного ПО исследователей ANY.RUN. Изначально данный образец распространялся через сервис хостинга файлов MediaFire , упакованный в архив RAR и защищённый паролем.
<h4> Тактика и методы XWorm </h4> Попытка запуска троянца в песочнице выявила несколько ключевых техник вредоноса:
После повторного запуска с включенным прокси XWorm был успешно запущен и начал свою деятельность. Первым делом вредонос отправил своему оператору собственную версию, имя пользователя компьютера, версию операционной системы и хэш.
<h4>Статический анализ нового варианта XWorm</h4> Исследовательский анализ показал, что рассмотренный вредонос являлся .NET -вариацией XWorm. Программное обеспечение было подвергнуто сильной обфускации, в то время как использование инструментов для деобфускации не принесло желаемого результата.
Заключение XWorm продолжает эволюционировать, представляя серьёзную угрозу в области кибербезопасности, в то время как углубленное расследование последних версий вредоносного ПО является крайне затратным по времени процессом для любого исследователя.
Для быстрого и эффективного анализа специалисты рекомендуют использовать готовые песочницы с настроенным обширным функционалом и большой базой данных по вредоносному ПО. Это поможет сберечь силы и драгоценное время.
С момента своего первого появления в 2022 году, XWorm стал одним из наиболее неприятных троянов удалённого доступа ( RAT ). Аналитическая группа ANY.RUN решила Для просмотра ссылки Войди
Рассмотренный образец XWorm был обнаружен в базе данных вредоносного ПО исследователей ANY.RUN. Изначально данный образец распространялся через сервис хостинга файлов MediaFire , упакованный в архив RAR и защищённый паролем.
<h4> Тактика и методы XWorm </h4> Попытка запуска троянца в песочнице выявила несколько ключевых техник вредоноса:
- XWorm устанавливается в общедоступную папку;
- XWorm использует планировщик заданий для перезапуска себя с повышенными привилегиями;
- XWorm добавляет свой ярлык в папку автозапуска Windows;
- XWorm подключается к удалённому серверу для получения команд.
После повторного запуска с включенным прокси XWorm был успешно запущен и начал свою деятельность. Первым делом вредонос отправил своему оператору собственную версию, имя пользователя компьютера, версию операционной системы и хэш.
<h4>Статический анализ нового варианта XWorm</h4> Исследовательский анализ показал, что рассмотренный вредонос являлся .NET -вариацией XWorm. Программное обеспечение было подвергнуто сильной обфускации, в то время как использование инструментов для деобфускации не принесло желаемого результата.
Заключение XWorm продолжает эволюционировать, представляя серьёзную угрозу в области кибербезопасности, в то время как углубленное расследование последних версий вредоносного ПО является крайне затратным по времени процессом для любого исследователя.
Для быстрого и эффективного анализа специалисты рекомендуют использовать готовые песочницы с настроенным обширным функционалом и большой базой данных по вредоносному ПО. Это поможет сберечь силы и драгоценное время.
- Источник новости
- www.securitylab.ru
