Изображение: recraft
На смену старым версиям XWorm пришли более совершенные сборки, которые активно применяются в фишинговых атаках. После того как оригинальный автор, известный под псевдонимом XCoder, прекратил поддержку проекта, управление над трояном фактически перешло к разрозненным группам злоумышленников. Новые версии (6.0, 6.4 и 6.5) уже используются в атаках, при этом каждая из них снабжена обширным набором плагинов. Их более 35, и каждый способен выполнять конкретные вредоносные задачи.
Специалисты компании Trellix, специализирующейся на защите информационных систем, зафиксировали устойчивую активность трояна с лета. Как сообщил представитель компании, с июня количество файлов XWorm, загружаемых на сервис VirusTotal, стабильно увеличивается. Это указывает на возрастающий интерес со стороны преступного сообщества к этой угрозе.
Программа позволяет не только красть содержимое браузеров, криптокошельков и буфера обмена, но и получать контроль над системами через удалённый доступ. Некоторые конфигурации могут шифровать файлы жертвы или, наоборот, расшифровывать их, если используются в сценариях двойного вымогательства.
Помимо этого, предусмотрены возможности запуска DDoS-атак и загрузки дополнительных вредоносных модулей на заражённую машину.
История XWorm началась в 2022 году. С первых версий троян запомнился исследователям своей структурой: гибкое построение и расширяемая функциональность позволили ему быстро обрести популярность. Версия 5.6, последняя из оригинальной линейки, содержала уязвимость, позволявшую выполнить произвольный код на атакуемой системе.
Эту брешь устранили в новых редакциях, которые начали распространять уже другие киберпреступники, не связанные с XCoder напрямую.
После ухода разработчика и удаления его Telegram-каналов, через которые распространялись апдейты, в сети появились модифицированные и взломанные сборки XWorm. Их стали использовать другие участники подпольного рынка. Некоторые из этих копий содержали скрытые бэкдоры, позволявшие воровать данные у тех, кто скачал вредонос из недостоверного источника — в данном случае под удар попали сами киберпреступники, ставшие мишенью более продвинутых групп.
По данным исследовательской группы Trellix, зафиксировано не менее 18 459 заражений в рамках одной только фишинговой кампании. Самые массовые вспышки наблюдались на территории России, США, Индии, Турции и Украины. В одном из проанализированных эпизодов вредонос был внедрён в систему через вредоносный скрипт на JavaScript, который запускал PowerShell-цепочку. Последняя обходила защитные механизмы, включая Antimalware Scan Interface, и разворачивала XWorm на целевой машине без каких-либо предупреждений со стороны антивирусов.
Оригинал публикации на сайте CISOCLUB: "В России и Украине снова ожидается усиление хакерской активности из-за распространения новой версии вируса-вымогателя XWorm".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
