XWorm RAT: Новые способы заражения и обхода защитных систем

В последних кампаниях XWorm активно используется в комбинации с другими вредоносными программами, такими как AsyncRAT, для проникновения в системы жертв. После успешного внедрения злоумышленники зачастую разворачивают ransomware-атаки, используя утечки вроде LockBit Black builder. Это связывает XWorm с тактиками, характерными для группировок, специализирующихся на шифровальщиках. Однако главная особенность последних версий XWorm - это использование разнообразных загрузчиков (loaders) и промежуточных скриптов (stagers), что позволяет обходить традиционные системы защиты.

В отличие от большинства вредоносных программ, использующих фиксированные цепочки заражения, XWorm постоянно меняет форматы файлов и языки сценариев, адаптируясь под условия атаки. В ход идут PowerShell, VBS, .NET-исполняемые файлы, JavaScript, bat-скрипты, HTA-файлы, ярлыки (.lnk), а также ISO-образы и документы с макросами. Такой динамический подход резко усложняет детектирование, поскольку стандартные сигнатуры антивирусов и песочницы оказываются бессильны против постоянно меняющихся методик.

Аналитики Splunk Threat Research Team изучили более 1000 образцов XWorm, выложенных в открытых базах данных вредоносного ПО, и выявили наиболее распространенные форматы файлов, используемые для доставки трояна. Основными оказались архивы ZIP, скрипты PowerShell и VBS, а также JavaScript-файлы - все они часто распространяются через фишинговые письма с вложениями. Социальная инженерия играет ключевую роль: злоумышленники маскируют вредоносные файлы под счета, квитанции или уведомления о доставке, чтобы обмануть пользователей и заставить их запустить зараженный код.

Особый интерес представляют механизмы обхода защиты Windows. XWorm активно эксплуатирует уязвимости в системе безопасности, такие как AMSI (Antimalware Scan Interface) и ETW (Event Tracing for Windows). Например, одна из версий вредоноса модифицирует функцию AmsiScanBuffer(), что позволяет ему избегать сканирования антивирусными решениями. Другая версия отключает логирование через EtwEventWrite(), затрудняя обнаружение вторжения средствами мониторинга.

Кроме того, XWorm использует несколько техник для обеспечения устойчивости в зараженной системе. Он прописывает себя в автозагрузку через реестр и создает задачи в планировщике Windows. Также троян внедряется в процессы explorer.exe, svchost.exe и Taskmgr.exe, используя инъекции кода, и даже пытается заражать съемные носители, создавая на них скрытые исполняемые файлы.

Важной частью функционала XWorm является сбор данных об инфраструктуре жертвы. Он сканирует систему на наличие антивирусов, собирает информацию о GPU, веб-камерах и драйверах, что позволяет злоумышленникам адаптировать дальнейшие атаки. Все собранные данные передаются на C2-сервер через HTTP-запросы с уникальным User-Agent, что позволяет аналитикам отслеживать активность вредоноса в сети.

Эволюция XWorm демонстрирует, насколько серьезной стала угроза со стороны многофункциональных RAT-троянов. Их способность адаптироваться к новым системам защиты и использовать социальную инженерию делает их особенно опасными. Организациям рекомендуется усилить защиту конечных точек, обучать сотрудников кибергигиене и внедрять системы анализа поведения для противодействия подобным угрозам.

SHA256

• 0f10d6cbaf195a7b0c9f708b7f0a225e2de29beb769bdf8d1652b682b1c4679f
• 28859e4387fefb9d1f36fdf711d1b058df5effe21d726cfe6a9a285f96db1c98
• 327a98bd948262a10e37e7d0692c95e30ba41ace15fe01d8e614a9813ad9d5cf
• 354d082858bfc5e24133854ff14bb2e89bc16e1b010b9d3372c8370d3144cdb9
• 4a885cec3833f3872e1e38f9149936fe6bcda2181e0df163556497d42383cffa
• 665e41e416954d5ff623a37c7bce17d409c11e003c29ae9ddeb25fc736e533c7
• 78b15b9b54925120b713a52a09c66674463bd689e3b01395801ef58c77651127
• 8044220d34e77501df4a9831ac27802261ea2309f104bb49ac00301df36dee72
• 9db47f709898b79c9ac07e6352de9be05d6b2b91902c146272e47c17c6b8d5b2