Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

XWorm Backdoor через .vbs: новый фишинг и обход обнаружения

3 мин
В отчёте описана кампания по рассылке вредоносных писем, которая использует необычный в бизнес-контексте вектор — скриптовое вложение .vbs (Visual Basic). В результате доставки злоумышленники получают Backdoor XWorm — троян удалённого доступа, способный обеспечить контроль над заражёнными машинами и доставку дополнительной полезной нагрузки. Атака маскируется под обычное деловое письмо с запросом подтверждения оплаты счёта-фактуры. Однако вложение представляет собой Visual Basic Script (.vbs) — формат, который в современных корпоративных коммуникациях встречается редко и потому вызывает обоснованные подозрения. Вместо привычных для бизнес-мишеней Excel-файлов с макросами (VBA) злоумышленники применяют .vbs, пытаясь обойти ожидаемые средства защиты и человеческую бдительность. При анализе вложенного .vbs выяснилось, что скрипт содержит множество переменных, которым не присвоены значения — приём, используемый авторами вредоносного ПО для запутывания анализа. Такая «зашумлённость» усложня
Оглавление

В отчёте описана кампания по рассылке вредоносных писем, которая использует необычный в бизнес-контексте вектор — скриптовое вложение .vbs (Visual Basic). В результате доставки злоумышленники получают Backdoor XWorm — троян удалённого доступа, способный обеспечить контроль над заражёнными машинами и доставку дополнительной полезной нагрузки.

Коротко о сути угрозы

Атака маскируется под обычное деловое письмо с запросом подтверждения оплаты счёта-фактуры. Однако вложение представляет собой Visual Basic Script (.vbs) — формат, который в современных корпоративных коммуникациях встречается редко и потому вызывает обоснованные подозрения. Вместо привычных для бизнес-мишеней Excel-файлов с макросами (VBA) злоумышленники применяют .vbs, пытаясь обойти ожидаемые средства защиты и человеческую бдительность.

Почему .vbs наводит на тревогу

  • .vbs выполняется напрямую через Windows Script Host и не требует открытия Office-приложений; это увеличивает риск немедленного исполнения вредоносного кода.
  • Современные атаки чаще используют PowerShell или VBA-макросы внутри Excel; появление .vbs указывает на попытку использовать менее распространённый вектор, чтобы пройти мимо стандартных сигнатур и привычек пользователей.
  • Использование .vbs может свидетельствовать о целенаправленном поиске обходных путей против механизмов обнаружения и обученных процедур реагирования.

Технический анализ: как был раскрыт механизм

При анализе вложенного .vbs выяснилось, что скрипт содержит множество переменных, которым не присвоены значения — приём, используемый авторами вредоносного ПО для запутывания анализа. Такая «зашумлённость» усложняет чтение кода и затрудняет статический анализ.

«Файл .vbs содержал переменные, которым не были присвоены значения, что указывает на метод заполнения, используемый авторами вредоносного ПО.»

Тем не менее при более глубоком разборе исследователю удалось извлечь и расшифровать вложенный скрипт PowerShell, который служит для загрузки и развёртывания полезной нагрузки. Для безопасного извлечения и анализа payload был разработан вспомогательный скрипт на Python, что позволило выделить два исполняемых образца из исходного сценария без запуска вредоносного кода на целевой системе.

Чем это важно для информационной безопасности

Случай демонстрирует эволюцию методов доставки вредоносного ПО: злоумышленники не ограничиваются традиционными векторами, а подбирают редкие или нетипичные форматы, чтобы снизить вероятность обнаружения. Это требует от команд SOC и аналитиков:

  • повышенного внимания к атипичным вложениям (.vbs, .js и т.п.);
  • внедрения процедур безопасного статического и динамического анализа в изолированных средах;
  • разработки инструментов для автоматизированной деобфускации и извлечения полезных нагрузок (например, скрипты на Python);
  • регулярного обновления сигнатур и поведенческих правил для EDR/AV, включая обработку необычных скриптовых форматов.

Практические рекомендации

  • Отнестись с повышенным вниманием к письмам с вложениями .vbs — блокировать на уровне почтового шлюза или изолировать для детального анализа.
  • Отключить Windows Script Host на рабочих станциях, где исполнение подобного контента не требуется.
  • Использовать многоуровневую проверку вложений: антивирус, sandbox, статический анализ и ручной разбор при необходимости.
  • Обучать сотрудников распознаванию фишинговых писем — учить обращать внимание на нестандартные вложения и неожиданные запросы, даже если текст письма кажется «деловым».
  • Развивать и применять инструменты автоматической деобфускации (включая скрипты на Python) для безопасного извлечения и идентификации payload.

Итог

Кампания с использованием .vbs и доставкой Backdoor XWorm подчёркивает, что злоумышленники всё чаще прибегают к нетипичным в реальном бизнесе вектором, чтобы обходить привычные средства защиты и человеческую осторожность. Надёжная защита требует не только технологий, но и процедур: своевременная блокировка подозрительных форматов, изоляция и безопасный анализ вложений, а также постоянное обучение персонала — ключевые элементы эффективной стратегии против таких угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "XWorm Backdoor через .vbs: новый фишинг и обход обнаружения".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются