Аналитический центр AhnLab Security (ASEC) провел мониторинг источников распространения вредоносных программ в Корее и выяснил, что вредоносная программа XWorm v5.6 распространяется через веб-чарты, притворяясь играми для взрослых. Вебхарды и торренты - популярные платформы для распространения вредоносного ПО в Корее.
Злоумышленники часто используют известные штаммы вредоносных программ, такие как njRAT и UDP RAT, и маскируют их под обычные программы, включая игры и контент для взрослых. XWorm v5.6 можно легко скачать с таких платформ, как GitHub.
При загрузке и распаковке файлов игры появляется Start.exe. Однако, несмотря на сходство с легитимным файлом запуска игры, отдельно генерируется и запускается файл .exe, который кроме того запускает вредоносную программу, замаскированную под SoundP2.muc. Start.exe не запускает вредоносную программу сразу же, она активируется при нажатии кнопки "Игра началась!". Это позволяет обойти защитные механизмы операционной системы. SoundP2.muc также копируется в папку Windows и добавляется в реестр для автоматического выполнения.
SoundP2.muc загружает зашифрованный XWorm v5.6 и загрузчик с сервера команд и контроля (C2), а загруженный загрузчик внедряет XWorm v5.6 в MsBuild.exe для выполнения. XWorm v5.6 выполняет действия, такие как мониторинг, кейлоггинг, перехват данных с веб-камер и загрузка дополнительных вредоносных программ.
Indicators of Compromise
URLs
- https://diditaxi.kro.kr:1050
- https://groundbreakingsstyle.com/wp-content/nanofolder/img-files/a95c346e-bd42-406b-a6a4-ed808e98bf67.res
- https://groundbreakingsstyle.com/wp-content/nanofolder/img-files/nacati.res
MD5
- 2b7ba71d66acfabbc67099ea3b45560a
- b8b6d0053cc3c7d9d58a19874b7807b1
