СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:25
#ИБ

XWorm V7.4: PyInstaller-загрузчик обходит AMSI и скрывает RAT

Point Wild опубликовала детальный разбор вредоносного исполняемого файла, упакованного с помощью PyInstaller. По данным исследования, образец оказался многоэтапным загрузчиком ВПО, связанным с кампанией XWorm V7.4. Аналитики отмечают, что вредонос использует развитые механизмы обфускации и противодействия анализу, чтобы скрывать свою активность и обходить стандартные средства защиты.

Как работает цепочка заражения

Согласно отчету, основная вредоносная функциональность запускалась через функцию с именем _VOID_DEPLOYER — после начального обманного кода, предназначенного для введения аналитиков в заблуждение. Именно этот этап обеспечивал дальнейшую скрытую обработку и развертывание полезной нагрузки.

Особое внимание исследователи уделили технике обхода защиты: вредоносный код патчит AmsiScanBuffer в памяти, тем самым фактически отключая Microsoft Anti-Malware Scan Interface (AMSI). Это снижает видимость активности для антивирусных решений и систем обнаружения на конечных точках до момента запуска полезной нагрузки.

Развертывание payload

Загрузчик способен расшифровывать и распаковывать встроенный исполняемый файл непосредственно из пакета Python. После этого он:

  • записывает файл в каталог %LOCALAPPDATA%;
  • устанавливает атрибуты hidden и system;
  • запускает его тихо, без видимой консоли.

Такая схема делает вредоносную активность менее заметной для пользователя и осложняет ручное выявление заражения.

XWorm V7.4: RAT с широкими возможностями

Вредоносная нагрузка идентифицирована как XWorm V7.4. Это Trojan класса RAT, способный обеспечивать несанкционированный доступ к системе, выполнять команды злоумышленника, похищать учетные данные, вести слежку и загружать дополнительные вредоносные модули на скомпрометированные устройства.

По данным анализа, образец взаимодействует с сервером управления и контроля (C2) по адресу tcp://68.219.64.89:4444, что подтверждает его удаленное управление со стороны злоумышленников.

Признаки современного malware framework

Исследование показало, что данный образец демонстрирует характеристики, типичные для современных фреймворков доставки ВПО:

  • многоэтапную обработку;
  • обход AMSI;
  • тактики скрытности полезной нагрузки;
  • динамическую реконструкцию вызовов API и компонентов для маскировки намерений;
  • снижение вероятности обнаружения средствами защиты.

Такой подход позволяет злоумышленникам усложнять анализ, затягивать момент детектирования и повышать устойчивость кампании к средствам противодействия.

Внутренняя логика XWorm RAT

Отдельно аналитики описали поведение самого XWorm RAT. Среди выявленных возможностей:

  • обширная разведка хоста;
  • генерация уникального идентификатора клиента на основе атрибутов системы;
  • связь с C2 через TCP-sockets с встроенными механизмами heartbeat;
  • использование AES для скрытой передачи данных;
  • выполнение удаленных команд;
  • внедрение дополнительных payload;
  • организация распределенных атак DDoS под централизованным управлением.

Как происходит заражение

В отчете также названы вероятные векторы заражения. Наиболее вероятными считаются:

  • фишинговые письма с вредоносными вложениями;
  • скомпрометированные дистрибутивы software;
  • тактики social engineering, побуждающие пользователя запустить вредоносный executable file.

Именно сочетание социальной инженерии и скрытой многоступенчатой доставки делает такие кампании особенно опасными для конечных пользователей и организаций.

Вывод

Цепочка заражения XWorm V7.4, по оценке Point Wild, отличается высокой сложностью: она использует многослойную обфускацию, скрытое развертывание и динамические методы выполнения. Это подчеркивает необходимость усиления механизмов обнаружения, а также более внимательного отношения к email-вложениям, сторонним дистрибутивам и любым подозрительным executable file.

«Многоэтапная обработка, обход AMSI и скрытая доставка payload демонстрируют уровень зрелости современных угроз», — следует из логики представленного анализа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: