Бразильский оператор XWorm допустил серию фатальных ошибок при развертывании новой кампании

Атака началась 7 апреля 2026 года, когда на платформу MalwareBazaar был загружен архив, содержащий дроппер на языке JavaScript объемом 2 мегабайта. Файл был сильно обфусцирован: 11 тысяч строк из почти 12 тысяч представляли собой "шумовые" символы Юникода, призванные затруднить статический анализ и срабатывание сигнатур антивирусов. Интересной находкой стал метод исполнения следующей стадии: PowerShell-скрипт был записан в переменную окружения пользователя с безобидным именем "INTERNAL_DB_CACHE", а затем вызван через интерфейс WMI (Windows Management Instrumentation). Этот прием позволяет скрыть фактическую полезную нагрузку от средств мониторинга командной строки, которые часто фиксируют только сам вызов PowerShell, но не содержимое переменных окружения.

Загрузчик следующего этапа, названный Fiber.Program, был извлечен с помощью стеганографии из обычного JPEG-изображения, размещенного на домене magina.online. Этот компонент представляет собой сборку .NET, замаскированную под легитимную библиотеку Microsoft.Win32.TaskScheduler и защищенную коммерческим обфускатором Babel. Внутри себя загрузчик содержит мощный механизм конфигурации с 19 параметрами, что указывает на его использование в рамках сервиса по созданию вредоносного ПО (Malware-as-a-Service, MaaS). Он отвечает за внедрение финальной нагрузки, обход контроля учетных записей (UAC) и установку механизмов закрепления в системе. Именно здесь исследователи обнаружили наиболее показательный артефакт, говорящий об уровне компетенций оператора. В коде загрузчика присутствует пространство имен "HackForums.gigajew.x64", которое является прямой копией публикации пользователя gigajew на известном форуме HackForums, посвященной техникам внедрения кода в процессы (process hollowing). Автор кампании даже не стал переименовывать классы, просто скопировав чужой код, что является грубейшим нарушением операционной безопасности.

Финальной нагрузкой оказался троян типа RAT (Remote Access Trojan) из семейства XWorm, известного с 2022 года. Его исполняемый файл был намеренно поврежден для затруднения анализа и также извлечен из JPEG-файла с помощью стеганографии. Маркеры для извлечения данных - "INICIO==" и "FIM" - прямо указывают на португальский язык. XWorm обладает стандартным для подобных троянцев функционалом: кража данных, захват изображения с веб-камеры, выполнение произвольных команд и распространение по сети. Для маскировки своего сетевого трафика троянец внедряется в легитимный процесс "Caspol.exe", системную утилиту .NET Framework.

Наиболее уязвимым местом в инфраструктуре злоумышленника оказался его сервер командования и управления. Домен magina.online был зарегистрирован за день до начала кампании на хостинге Hostinger в Литвании. При этом оператор оставил порты для MariaDB (3306) и FTP (21) открытыми для всего интернета, а на самом веб-сервере обнаружилось более 200 различных эндпоинтов, включая панели управления, что свидетельствует о использовании шаблонной или автоматически развернутой панели управления ботнетом. Однако главный C2, на который выходил сам троянец, располагался на динамическом домене alzap.ddns.com.br, привязанном к жилому IP-адресу провайдера Telefonica Brasil (Vivo). Это означает, что оператор управлял зараженными системами прямо со своего домашнего компьютера в Бразилии.

Совокупность улик - португальские маркеры в коде, бразильский динамический DNS, жилой IP-адрес крупнейшего местного оператора связи, а также непереименованная функция "VerificarMinutos" ("Проверить минуты" на португальском) внутри обфусцированного загрузчика - создает убедительную картину для атрибуции. Вероятно, речь идет о начинающем злоумышленнике из Бразилии, который, обладая доступом к современным инструментам обфускации и стеганографии, совершил ряд фундаментальных ошибок на этапе развертывания своей инфраструктуры и reuse (повторного использования) чужого кода. Подобная небрежность значительно облегчает работу специалистов по кибербезопасности, позволяя не только заблокировать конкретную кампанию, но и выявить связь между различными активностями. Для защищающихся сторон этот случай служит напоминанием о важности мониторинга нестандартных способов запуска скриптов, таких как выполнение кода из переменных окружения, и анализа сетевой активности редко используемых системных процессов.

IPv4

• 191.34.194.67
• 89.116.115.88

Domains

• alzap.ddns.com.br
• magina.online

URLs

• https://magina.online/bkp
• https://magina.online/img_152603.png
• https://magina.online/MSI_111454.png

SHA256

• 2261c2a0b9ca14f1f68d83e8bc3f660a681a385b1932945fa826f0be89d39939
• 4c05a4f514bbc7f84b397abfe571c9c34505b0d142a0e8e13a981c8ffb194857
• 53c3e0f8627917e8972a627b9e68adf9c21966428a85cb1c28f47cb21db3c12b
• 6bce2dd7b61a662650ffa16e886d1f3da01377841882bbcc4081305d17b14f57
• 7c18dfe88698ad11830089f35f2fbc3f9773a549b5a7cb2597deb0d7fcbce9d3
• ccd5d5e9619538b82a6b8e194f180cf084bc1a20cdd39e447c3f73264c3330e9