Троянца XWorm рассмотрели под микроскопом: представляет ли он реальную угрозу?

С момента своего первого появления в 2022 году, XWorm стал одним из наиболее неприятных троянов удалённого доступа (RAT). Аналитическая группа ANY.RUN решила провести подробный разбор последней версии этого вредоносного ПО и поделилась своими результатами.

Рассмотренный образец XWorm был обнаружен в базе данных вредоносного ПО исследователей ANY.RUN. Изначально данный образец распространялся через сервис хостинга файлов MediaFire, упакованный в архив RAR и защищённый паролем.

Тактика и методы XWorm

Попытка запуска троянца в песочнице выявила несколько ключевых техник вредоноса:

• XWorm устанавливается в общедоступную папку;
• XWorm использует планировщик заданий для перезапуска себя с повышенными привилегиями;
• XWorm добавляет свой ярлык в папку автозапуска Windows;
• XWorm подключается к удалённому серверу для получения команд.

Неудачная попытка обхода анализа

Новая версия XWorm пыталась определить, работает ли она в виртуальной среде, и при обнаружении таковой прекращала свою работу. Чтобы обойти это, аналитики использовали функцию Residential Proxy, которая «обманула» вредоносное ПО, заменив IP-адрес на реальный из определённой страны.

После повторного запуска с включенным прокси XWorm был успешно запущен и начал свою деятельность. Первым делом вредонос отправил своему оператору собственную версию, имя пользователя компьютера, версию операционной системы и хэш.

Статический анализ нового варианта XWorm

Исследовательский анализ показал, что рассмотренный вредонос являлся .NET-вариацией XWorm. Программное обеспечение было подвергнуто сильной обфускации, в то время как использование инструментов для деобфускации не принесло желаемого результата.

XWorm продолжает эволюционировать, представляя серьёзную угрозу в области кибербезопасности, в то время как углубленное расследование последних версий вредоносного ПО является крайне затратным по времени процессом для любого исследователя.

Для быстрого и эффективного анализа специалисты рекомендуют использовать готовые песочницы с настроенным обширным функционалом и большой базой данных по вредоносному ПО. Это поможет сберечь силы и драгоценное время.