Анализ цепочки заражения модифицированным XWORM RAT через WhatsApp MSI

Новая кампания с использованием MSI-установщиков связана с модифицированным XWORM RAT

Недавнее исследование выявило цепочку заражения, использующую MSI-установщики, ассоциируемые с Gh0stRAT и другими RAT-ами, такими как WinOS/ValleyRAT. Особое внимание уделено модифицированной версии XWORM RAT, распространяемой через файл под названием whats-install.msi. Этот инсталлятор замаскирован под законный установщик WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), что затрудняет обнаружение вредоносной активности пользователями.

Особенности заражения и механизм запуска

Представленный MSI-файл создан с помощью Advanced Installer и содержит комментарии и поля преимущественно на китайском языке, что указывает на возможное участие китайскоязычного злоумышленника в разработке.

При запуске whats-install.msi активируются два различных пути:

• Первый — запускает легитимный файл xmplay.exe, что запускает цепочку заражения XWORM;
• Второй — использует файлы в папке installer.exe_1 для развёртывания настольного приложения на базе Chromium, предположительно настроенного клиента WhatsApp.

Ключевой этап заражения начинается с выполнения xmplay.exe, который загружает вредоносную библиотеку DLL — xmpcd.dll. Она отвечает за выполнение функции AccurateRemote(), запускающей встроенный PowerShell-скрипт.

Данный PowerShell-скрипт создаёт запланированную задачу с произвольно сгенерированным именем, что гарантирует автоматический запуск xmplay.exe при каждом входе пользователя в систему из определённого каталога — метод, обеспечивающий устойчивость вредоносного ПО.

Технология скрытого запуска и маскировка шеллкода

Программа installer.exe функционирует как загрузчик шеллкода. Она:

• Извлекает данные после разделителя IEND в ресурсе PNG-изображения;
• Дешифрует скрытый шеллкод;
• Изменяет защиту памяти для выполнения полезной нагрузки;
• Создаёт заметную задержку в исполнении, чтобы избежать обнаружения антивирусными процессами.

Шеллкод модифицирован так, что напоминает известный клиент XWORM RAT, но с индивидуальной конфигурацией:

• Использует два IP-адреса для C2-серверов:
  • 27.124.2.138:6000 — в открытом виде;
  • 45.125.216.54:7000 — альтернативный, неактивный.

Уникальные особенности и целенаправленность на пользователей Telegram

Модифицированный XWORM демонстрирует нетипичное для предыдущих версий поведение. Например, функция Spread() не проверяет уязвимые файлы на USB-накопителях, а сканирует систему на наличие установленного Telegram. Это может указывать на:

• Целенаправленные операции против пользователей Telegram;
• Использование Telegram в качестве платформы для дальнейших вредоносных действий.

Рассматриваемый вариант содержит мьютекс с уникальным именем sKGCo7sB9Ni6uaEY и применяет пользовательские механизмы идентификации и отчетности, основанные на Telegram.

Заключение — связь с предыдущими атаками и региональная направленность

Признаки и методы, используемые в данном вредоносном ПО, коррелируют с предыдущими действиями китайскоязычных хакеров. Это проявляется в использовании:

• Троянских установщиков;
• Шеллкодов, зашифрованных через Donut;
• Сложных механизмов запуска и маскировки.

Аналитики отмечают, что распространение и адаптация XWORM свидетельствуют о постоянном интересе к компрометации пользователей в Восточной и Юго-Восточной Азии. Различные варианты XWORM можно найти в таких исследовательских хранилищах, как VirusTotal.

Таким образом, новая кампания демонстрирует высокую сложность и тонкую настройку вредоносного ПО, нацеленного на обход защиты и нацеливание на конкретные группы пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.