XWorm se refiere a un tipo de malware que se analiza por sus técnicas de ofuscación y su posible impacto en los sistemas.
Este malware es conocido por su capacidad para disfrazarse y evadir la detección, lo que lo convierte en una amenaza importante para los entornos de ciberseguridad.
Los investigadores de NetSkope identificaron recientemente una nueva variante de XWorm que se entrega mediante archivos de script de Windows.
XWorm es una herramienta de malware versátil descubierta en '2022' y desde entonces ha evolucionado a la versión 5.6, como lo descubrió recientemente 'Netskope Threat Labs'.
XWorm entregado a través de scripts de Windows
Esta amenaza basada en .NET inicia la cadena de infección a través de un archivo de script de Windows (WSF) que descarga y ejecuta un script de PowerShell ofuscado desde pegar(.)ee.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Este script crea varios archivos en “C:\ProgramData\Music\Visuals” (“VsLabs.vbs”, “VsEnhance.bat” y “VsLabsData.ps1”) y crea un archivo programado llamado “MicroSoftVisualsUpdater”. .
Tareas programadas como persistentes con XWorm (Fuente – NetSkope)
Además de esto, XWorm emplea técnicas de evasión como “carga de código reflectante del cargador DLL'' (“NewPE2'') e “inyección de procesos en procesos legítimos'' como “RegSvcs.exe''.
Utiliza “cifrado AES-ECB” utilizando un “hash MD5” modificado como clave y se comunica con un “servidor de comando y control (“C2″)” a través de un “socket TCP”.
Aquí, las nuevas características en v5.6 incluyen la capacidad de eliminar complementos y un comando “Pong” para informar el tiempo de respuesta.
Flujo de ejecución de XWorm (Fuente – NetSkope)
El malware realiza un reconocimiento exhaustivo del sistema recopilando datos sobre “hardware”, “software” y “privilegios de usuario”.
No sólo eso, el atacante será notificado de la infección exitosa a través de Telegram.
Estas técnicas avanzadas permiten a XWorm acceder a información confidencial, obtener acceso remoto e implementar malware adicional mientras evade la detección.
XWorm utiliza múltiples vectores de ataque y puede modificar archivos de hosts en sistemas infectados para redirigir solicitudes de DNS con fines maliciosos.
Este malware lanza un ataque “DDoS” enviando repetidamente “solicitudes POST” a una “dirección IP” y un “puerto” específicos.
XWorm utiliza la función “CopyFromScreen” para capturar “capturas de pantalla” y almacenarlas en la memoria como imágenes “JPEG” antes de enviarlas.
Ejecute una amplia gama de comandos, como “operaciones del sistema” (“apagar”, “reiniciar”, “cerrar sesión”), “operaciones de archivos” y “ejecución remota de código” a través de PowerShell.
El malware puede descargar y ejecutar cargas útiles adicionales, como “enviar solicitud HTTP” e “instalar complemento de forma permanente”.
XWorm utiliza un formato de mensaje bien definido para la comunicación de canal secundario con el servidor C2 y, a menudo, también agrega “información del sistema” de la víctima.
Otra característica es el 'monitoreo de procesos'. Realiza ciertas operaciones en secreto ocultando algunas actividades al usuario.
Este conjunto de herramientas diverso permite a los atacantes un amplio acceso y control sobre los sistemas comprometidos, lo que convierte a 'XWorm' en una amenaza importante en el ecosistema de ciberseguridad actual.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
