XWorm способен сбрасывать несколько вредоносных полезных нагрузок в различные точки системы, добавлять или изменять записи реестра, а также выполнять команды.
- После выполнения вредоносная программа "спит" в течение одной секунды и проверяет наличие мьютексов, виртуальных машин, отладчиков, эмуляторов, сред песочницы и Anyrun. Вредоносная программа завершает свою работу, если ни одно из этих условий не выполнено.
- XWorm устанавливает себя в папку запуска и создает запись запланированной задачи в папке AppData.
- Вредоносная программа создает запись автозапуска в реестре, чтобы она автоматически запускалась при каждом перезапуске системы.
- После установления устойчивости она связывается с сервером C2. Затем система домена C&C получает уведомления о новой системной информации через новый поток.
- Он включает в себя процедуру Read(), которая получает зашифрованные AES команды от C&C и расшифровывает их перед выполнением необходимых операций.
- Вредоносная программа может выполнять различные задачи, включая перехват клавиатуры, захват экрана, автообновление, самоуничтожение, выполнение скриптов и операции выкупа.
- Операции с файлами и папками, выполняемые вредоносной программой, включают добавление и удаление файлов, скрытие и отображение файлов, а также передачу файлов.
- Кроме того, вредоносная программа запускает атаку Hidden Virtual Network Computing (HVNC), которая позволяет ей контролировать удаленную машину без ведома жертвы.
Indicators of Compromise
URLs
- https://stnicholaschurch.ca/Invoice.one
- https://stnicholaschurch.ca/xw.bat
Emails
- bill@parklandbiz.com
MD5
- 42567e365feef7f95e1ca516aa3afe7d
- ac15b02c77993eed771c7040c2f9c12d
- c897369be58f7de9aa218fde09112449
- e7b74503aa1b3ad783e69e154fff3525
- f0a664426e165717999eba8030d11c54