СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:30
#ИБ

XWorm RAT в LATAM: безфайловая кампания с PowerShell и Cloudinary

В последние недели исследователи обнаружили масштабную вредоносную кампанию, нацеленную на корпоративные сети в регионе LATAM. Злоумышленники применяют модульный, многоступенчатый подход с реалистичными приманками — в частности, подделанными банковскими квитанциями — и комбинируют техники обхода защиты, включая использование облачных платформ, исполнение *без файлов* и запланированные задания для поддержания персистентности. Итоговая цель — внедрение троянской программы удаленного доступа XWorm (RAT).

Краткое описание механизма атаки

  • Приманка и доставка: начальный фрагмент распространяется как файл, выглядящий как квитанция банка, конкретно Comprovante-Bradesco, с обманчивым двойным расширением .pdf.js, что заставляет пользователя считать файл безопасным.
  • Dropper: файл функционирует как Dropper — при запуске выполняется сильно обфусцированный JavaScript, в котором злоумышленники применяют манипуляции с Unicode для сокрытия вредоносной логики. Исследователи воспроизвели процесс деобфускации и выявили загрузчик без файлов (fileless loader), готовящий последующие этапы заражения.
  • Использование облачных платформ: для уклонения от фильтров репутации злоумышленники размещают контент через платформы типа Cloudinary, снижая вероятность блокировки по домену.
  • PowerShell в памяти: следующий этап загружает полезную нагрузку через PowerShell, избегая создания файлов на диске и выполняя код в оперативной памяти. Скрипт расшифровывает аргументы конфигурации заражения.
  • VB.NET DLL и персистентность: специализированная библиотека на VB.NET (DLL) не запускает XWorm напрямую, а создает закрепление через запланированную задачу, которая повторно запускает PowerShell-загрузчик — модульный метод поддержания присутствия в сети.
  • Получение XWorm и внедрение: финальная стадия получает XWorm по URL и использует легитимный инструмент Microsoft — CasPol.exe — для внедрения, а не запуска отдельного процесса, что усложняет детекцию.

«Кампания сочетает в себе социальную инженерию на уровне банковских коммуникаций и технические меры уклонения — Cloudinary, обфускация Unicode, PowerShell без файлов и запланированные задания — что делает её особенно опасной для корпоративных конечных точек», — отмечают исследователи.

Технические детали и уязвимости вредоносного ПО

Статический анализ показал, что в реализации криптографии у вредоносного ПО присутствуют слабые места, в частности в использовании алгоритма AES. Это дает аналитикам шанс на расшифровку части конфигурационных данных и расширение возможностей обнаружения при корректной аналитике.

Ключевые технические особенности кампании:

  • двойное расширение .pdf.js в качестве социальной приманки;
  • обфускация JavaScript с использованием Unicode-манипуляций;
  • загрузка контента через Cloudinary и другие CDN для обхода фильтров репутации доменов;
  • PowerShell-скрипты, выполняющие код в памяти и расшифровывающие конфигурационные аргументы;
  • VB.NET DLL, создающая запланированную задачу для персистентности;
  • использование CasPol.exe для внедрения XWorm, а не явного запуска процесса;
  • модульная архитектура, позволяющая злоумышленникам обновлять или заменять компоненты без привлечения внимания.

Оценка риска для корпоративных сетей

Комбинация реалистичных фишинговых приманок и сложных техник уклонения делает кампанию значимой угрозой для корпоративных конечных точек в LATAM. Многоступенчатая модель позволяет злоумышленникам: сначала установиться незаметно, затем развернуть функционал удаленного доступа и удерживать контроль, перезапуская загрузчики через системные механизмы.

Рекомендации для обнаружения и реагирования

Для минимизации риска и ускорения обнаружения инцидентов организациям и SOCs рекомендуется:

  • усилить видимость исполнения PowerShell и WMI: включить детальный логинг, сохранить скрипты и аргументы для последующего анализа;
  • внедрить мониторинг использования легитимных инструментов (например, CasPol.exe) и аномалий в их поведении;
  • отслеживать обращения к CDN/облачным сервисам типа Cloudinary от рабочих хостов, особенно если контент загружается динамически;
  • использовать интерактивные песочницы для быстрой сортировки подозрительных файлов с двойными расширениями и обфусцированными скриптами;
  • включить сигнатуры и эвристики, детектирующие double extension (.pdf.js), техники Unicode-обфускации и fileless-исполнение;
  • построить стратегии проактивного threat hunting, ориентированные на модульную архитектуру атак и индикаторы компрометации для LATAM;
  • внедрить практики быстрой изоляции и реагирования: сегментация сети, откат учетных данных, форензика памяти для поиска следов выполнения в RAM;
  • при наличии — использовать возможности дешифровки за счет выявленных слабостей в имплементации AES у вредоносного ПО.

Вывод

Обнаруженная кампания с использованием XWorm (RAT) демонстрирует, как современные злоумышленники комбинируют социальную инженерию и технические меры уклонения, чтобы проникнуть в корпоративные сети LATAM и закрепиться в них. Быстрая адаптация средств мониторинга, усиление видимости исполнения сценариев и проактивный поиск угроз в контексте региональных особенностей киберугроз — ключевые меры для предотвращения и сдерживания подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: