Главная страница » Индикаторы компрометации
0
10 часов
Индикаторы компрометации

Хакеры маскируют XWorm под угонщик данных Chrome, используя сложную обфускацию и Telegram

information security

В последнее время злоумышленники активно используют многоэтапные атаки, чтобы скрыть свои вредоносные программы от систем безопасности. На днях специалисты обнаружили новый образец подобной тактики. Вредоносный сценарий, маскирующийся под классический угонщик данных для браузера Chrome, на самом деле оказался трояном XWorm с нестандартной цепочкой выполнения и использованием мессенджера Telegram в качестве командного центра.

Описание

Инцидент начался с фишингового письма, содержащего вложение. Автоматическое сканирование классифицировало его как скрипт для создания инжектора Chrome с целью кражи информации. Подобные InfoStealer (информационные воры) действительно широко распространены, что придавало атаке видимость обычного заражения. Однако при детальном анализе выяснилось, что стандартный скрипт был лишь первой стадией сложной атаки. После завершения своей видимой части скрипт не завершался, а переходил к дополнительному коду, обозначенному меткой ":show_msgbox".

Именно здесь начиналась настоящая вредоносная активность. Полезная нагрузка была тщательно обфусцирована с помощью мусорных символов. Это очень распространенный прием, когда строка загрязняется лишними символами для усложнения статического анализа. В данном случае зашифрованные данные представляли собой фрагмент в кодировке Base64, который исполнялся через PowerShell. На этом этапе скрипт загружал следующий компонент с удаленного сервера, замаскированный под изображение с расширением PNG.

Примечательно, что файл действительно был корректным изображением, что могло помочь ему избежать блокировки. Однако внутри графического файла находилась вторая полезная нагрузка, извлечение которой происходило по заданным тегам "BaseStart-" и "-BaseEnd". Этот извлеченный шелл-код затем запускался с набором параметров, включающим путь для сохранения файлов и URL для связи с сервером управления. Адрес указывал на текстовый файл, содержащий финальную стадию заражения.

Расшифровка этого финального компонента потребовала дополнительных усилий. Полезная нагрузка была не только закодирована в Base64, но и реверсирована, а также содержала нестандартные символы, мешающие автоматическому декодированию. С помощью Python-скрипта и фильтрации только шестнадцатеричных символов аналитикам удалось восстановить бинарный файл. Его хеш SHA256 (d99318c9b254b4fa5bf6f1dd15996dd50be0676dd84e822503fd273316eb9ba7) указывает на программу, написанную на .Net.

Эта программа реализует механизм персистентности через запланированную задачу в системе Windows. С помощью утилиты "schtasks.exe" троян создает задание, которое запускает вредоносный исполняемый файл каждую минуту. Это обеспечивает постоянное присутствие зловреда в системе даже после перезагрузки. Для связи с оператором программа использует API Telegram, отправляя на управляющий сервер конфиденциальные данные о зараженной системе, включая имя пользователя, версию операционной системы, данные о процессоре и объем оперативной памяти.

Использование публичного и легитимного сервиса, такого как Telegram, в качестве командного центра (C2) является растущим трендом среди киберпреступников. Этот подход позволяет злоумышленникам обходить традиционные средства защиты, которые часто блокируют связь только с известными вредоносными доменами. В отправляемом сообщении содержится идентификатор "XWorm V7.0", подтверждающий, что это очередная версия известного трояна. Таким образом, атака, начавшаяся как якобы простой угонщик данных, превратилась в установку сложного удаленного доступа.

Данный случай наглядно демонстрирует эволюцию тактик злоумышленников. Они комбинируют социальную инженерию, обфускацию кода, стеганографию и легитимные интернет-сервисы для создания устойчивых угроз. Эксперты рекомендуют компаниям усиливать защиту на уровне почтовых шлюзов, тщательно анализировать поведение скриптов, особенно PowerShell, и применять решения, способные обнаруживать аномальную сетеую активность, включая соединения с публичными API, которые используются не по назначению.

Индикаторы компрометации

URLs

  • https://api.telegram.org/bot7409572452:AAGp8Ak5bqZu2IkEdggJaz2mnMYRTkTjv-U/sendMessage?chat_id=6870183115&text=%E2%98%A0%20%5BXWorm%20V7.0%20@XCoderTools%5D%0D%0A%0D%0ANew%20CLient%20:%20%0D%0ACAECEB6F4379122BA468%0D%0A%0D%0AUserName%20:%20admin%0D%0AOSFullName%20:%20Microsoft%20Windows%2010%20Pro%0D%0AUSB%20:%20False%0D%0ACPU%20:%20AMD%20Ryzen%205%203500%206-Core%20Processor%0D%0AGPU%20:%20Microsoft%20Basic%20Display%20Adapter%20%0D%0ARAM%20:%205.99%20GB%0D%0AGroup%20:%20XWorm%20V7.1
  • https://uniworldrivercruises-co.uk/optimized_MSI.png

SHA256

d99318c9b254b4fa5bf6f1dd15996dd50be0676dd84e822503fd273316eb9ba7

Комментарии: 0
Похожие записи
0
21.09.2023
Индикаторы компрометации

XWorm Malware IOCs

security
XWorm - это вредоносная программа, нацеленная на операционные системы Windows. Он известен своей скрытностью и живучестью, а также широким спектром вредоносных действий - от удаленного управления рабочим
0
18.04.2024
Индикаторы компрометации

UAC-0184 APT IOCs

security
CERT-UA в течение 2024 года фиксирует повышенная активность группировки UAC-0184, целью которой является получение доступа к компьютерам представителей Сил обороны Украины с целью похищения документов и данных мессенджеров.
0
23.12.2025
Индикаторы компрометации

Критичная уязвимость React2Shell продолжает использоваться для установки криптомайнеров

information security
Эксплойты для критической уязвимости в Node.js-библиотеке, известной как React2Shell (CVE-2025-55182), продолжают активно использоваться в дикой природе. Несмотря на то, что с момента публикации данных