21.09.2023 | Троянца XWorm рассмотрели под микроскопом: представляет ли он реальную угрозу? |
С момента своего первого появления в 2022 году, XWorm стал одним из наиболее неприятных троянов удалённого доступа ( RAT ). Аналитическая группа ANY.RUN решила провести подробный разбор последней версии этого вредоносного ПО и поделилась своими результатами. Рассмотренный образец XWorm был обнаружен в базе данных вредоносного ПО исследователей ANY.RUN. Изначально данный образец распространялся через сервис хостинга файлов MediaFire , упакованный в архив RAR и защищённый паролем. Тактика и методы XWormПопытка запуска троянца в песочнице выявила несколько ключевых техник вредоноса:
Неудачная попытка обхода анализаНовая версия XWorm пыталась определить, работает ли она в виртуальной среде, и при обнаружении таковой прекращала свою работу. Чтобы обойти это, аналитики использовали функцию Residential Proxy , которая «обманула» вредоносное ПО, заменив IP-адрес на реальный из определённой страны. После повторного запуска с включенным прокси XWorm был успешно запущен и начал свою деятельность. Первым делом вредонос отправил своему оператору собственную версию, имя пользователя компьютера, версию операционной системы и хэш. Статический анализ нового варианта XWormИсследовательский анализ показал, что рассмотренный вредонос являлся .NET -вариацией XWorm. Программное обеспечение было подвергнуто сильной обфускации, в то время как использование инструментов для деобфускации не принесло желаемого результата. ЗаключениеXWorm продолжает эволюционировать, представляя серьёзную угрозу в области кибербезопасности, в то время как углубленное расследование последних версий вредоносного ПО является крайне затратным по времени процессом для любого исследователя. Для быстрого и эффективного анализа специалисты рекомендуют использовать готовые песочницы с настроенным обширным функционалом и большой базой данных по вредоносному ПО. Это поможет сберечь силы и драгоценное время. |
Проверить безопасность сайта