Работает даже при белом списке
Image

Думаешь, тебя это не коснётся? Каждый может стать целью. Узнай, как защититься.

Купился на обновление в мессенджере? Получи скрытый троян, который смотрит на тебя через веб-камеру

13816
Point Wild XWorm PyInstaller AMSI C2 RAT загрузчик
Купился на обновление в мессенджере? Получи скрытый троян, который смотрит на тебя через веб-камеру
Point Wild XWorm PyInstaller AMSI C2 RAT загрузчик

Сначала программа делает вид, что ничего не происходит, а потом открывает хакерам доступ к системе.

image

Компания Point Wild разобрала свежую цепочку заражения XWorm V7.4 и показала, как обычный на вид установщик на Python превращается в инструмент удалённого контроля. Главная опасность такой схемы в том, что вредоносная программа не спешит раскрывать свои возможности, а шаг за шагом готовит систему к запуску скрытого модуля.

Специалисты изучили подозрительный файл, упакованный через PyInstaller. После распаковки внутри нашли скомпилированный Python-модуль с случайным именем BA4Q6ACPMNrd980FwZn9iEbEqkjvRmw7FhW.pyc. Анализ показал, что часть кода служит отвлекающим слоем, а основная вредоносная логика запускает многоступенчатую загрузку XWorm.

Загрузчик динамически восстанавливает названия Windows API, чтобы не хранить подозрительные вызовы в открытом виде. Затем программа меняет в памяти работу AmsiScanBuffer, снижая видимость для Microsoft AMSI и защитных средств, которые проверяют сценарии и запускаемые данные. После такого обхода вредоносный код извлекает встроенный исполняемый файл из зашифрованного блока, расшифровывает его, распаковывает через zlib и записывает в каталог %LOCALAPPDATA% под именем Win.Kernel_Svc_AJ8iOw.exe.

Чтобы файл меньше бросался в глаза, загрузчик присваивает ему атрибуты Hidden и System, а затем запускает в фоновом режиме без видимого окна консоли. По данным Point Wild, восстановленный файл оказался .NET-сборкой afacan313131.exe, связанной с XWorm V7.4.

Дальнейший разбор показал, что XWorm хранит конфигурацию в зашифрованном виде и использует AES для защиты данных о командном сервере, порте и ключах. В образце фигурирует C2-адрес tcp://68[.]219[.]64[.]89:4444. После запуска троян собирает сведения о системе, включая данные о правах пользователя, оборудовании, веб-камере и установленных защитных продуктах. На основе имени пользователя, имени машины, числа процессоров и версии ОС создаётся уникальный идентификатор жертвы.

XWorm поддерживает команды для удалённого запуска файлов, выполнения shell-команд, загрузки дополнительных модулей, самоудаления, обновления и участия в DDoS-атаках. Отдельный механизм через .NET reflection позволяет запускать плагины прямо в памяти, что усложняет обнаружение и помогает операторам расширять возможности заражённой системы без записи новых компонентов на диск.

Point Wild связывает такую цепочку с современными схемами доставки вредоносного ПО, где PyInstaller используют для маскировки загрузчиков под легитимные приложения. Возможными путями заражения названы фишинговые вложения, поддельные обновления, троянизированные установщики, вредоносные загрузки с сайтов и архивы, распространяемые через мессенджеры или форумы.