Обфускация и C2-инфраструктура XWorm и AsyncRAT через paste.ee

Хакерская кампания использует легальный сервис paste.ee для распространения вредоносных RAT

Недавние расследования выявили новую тактику злоумышленников — использование легального онлайн-сервиса paste.ee для распространения троянских программ удалённого доступа (RATs) XWorm и AsyncRAT с помощью скрытого загрузчика на JavaScript. Такая методика затрудняет обнаружение и повышает эффективность атак, что делает кампанию особенно опасной для организаций и частных пользователей.

Маскировка вредоносного кода через JavaScript

Первоначальная проверка вредоносных файлов показала, что под видом безобидного JavaScript-файла с названием «ДОКУМЕНТ ДЛЯ ДОСТАВКИ» INFORMATION.js скрывался замаскированный загрузчик. В этом файле использовались необычные символы Unicode, что служило средством обфускации — сокрытия истинного назначения скрипта. Основная функция кода сводилась к обращению к paste.ee для извлечения и выполнения вредоносной полезной нагрузки с помощью конструктора функций.

Расследование охватило более широкую кампанию, демонстрирующую сложные методы обфускации и использование глобальной распределённой инфраструктуры командования и контроля (C2), характерной для этих RAT.

Возможности вредоносной программы XWorm

Тщательный анализ выявил следующие ключевые функции XWorm:

• регистрация нажатий клавиш (keylogging);
• эксфильтрация данных;
• постоянный удалённый доступ к заражённым системам;
• отслеживание активных окон и состояния клавиатуры;
• сбор конфиденциальной информации в различных приложениях.

Эти возможности делают XWorm серьёзной угрозой для информационной безопасности. Дополнительный анализ инфраструктуры позволил обнаружить вредоносные исполняемые файлы, связанные с этой программой, а также выявить домен и IP-адрес C2-серверов.

Инфраструктура командования и контроля (C2)

Исследование выявило следующие ключевые элементы инфраструктуры злоумышленников:

• домен abuwire123.ddns.net;
• IP-адрес 45.145.43.244, расположенный в Германии;
• активность на нестандартных портах: 6606 и 7707, ассоциируемых с AsyncRAT.

IP-адрес демонстрировал значительную вредоносную активность, включая связь с другими подозрительными сервисами, что свидетельствует о длительной и структурированной работе хакеров.

Особенности AsyncRAT

AsyncRAT — это троянец с открытым исходным кодом, разработанный на C#. Благодаря своей гибкости и возможности модификации этот RAT стал популярным среди различных хакерских групп. Анализ SSL-сертификатов, применяемых на обсуждаемых портах, подтвердил связь с разными вариантами AsyncRAT, что указывает на наличие масштабной и хорошо организованной сети C2.

Рекомендации по защите и мониторингу

Данная кампания ярко демонстрирует, как злоумышленники используют легальные сервисы для размещения и распространения вредоносного ПО, что значительно затрудняет его выявление. Эксперты по безопасности подчёркивают важность:

• мониторинга необычной сетевой активности, особенно на малоизвестных портах (6606, 7707);
• регулярного анализа поведения JavaScript-файлов с помощью методов регулярных выражений;
• постоянного мониторинга логов IOCs (Indicators of Compromise);
• осторожного обращения с ссылками на сервисы типа paste.ee;
• внимательного изучения сложного и запутанного JavaScript, способного скрывать вредоносные payload.

Пользователям и организациям рекомендуется усилить контроль за сетевой активностью и быть бдительными при работе с подозрительными файлами и ссылками, чтобы предотвратить проникновение этих опасных троянских программ.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.