XWorm se profilisao kao jedan od najaktivnijih i najraznovrsnijih trojanaca za daljinski pristup (RAT) na trenutnom sajber prijetnjem pejzažu, postajući značajan alat u arsenalu sajber kriminalaca.
Ovaj napredni malver prevazišao je tradicionalne mogućnosti RAT-ova, integrišući napredne funkcije kao što su keylogging, daljinski pristup desktopu, eksfiltracija podataka i izvršavanje komandi, što ga čini posebno privlačnim za aktere prijetnje koji teže sveobuhvatnoj kontroli sistema.
Malver je pokazao izuzetnu prilagodljivost u svojim mehanizmima isporuke, primjenjujući dinamički pristup koji izmjenjuje više formata datoteka i skriptnih jezika kako bi izbjegao detekciju.
Za razliku od uobičajenih malvera koji se oslanjaju na fiksirane lance infekcije, XWorm koristi PowerShell skripte, VBS datoteke, .NET izvršne fajlove, JavaScript, batch skripte, pa čak i Office makroe kao početne vektore napada.
Ova sposobnost mijenjanja oblika značajno otežava napore za detekciju i ukazuje na namjernu strategiju za zaobilaženje endpoint odbrana i tehnologija za sandbox analizu.
Nedavne kampanje su pokazale da XWorm cilja organizacije unutar lanca snabdijevanja softvera i gejming industrije, pri čemu napadači koriste AsyncRAT i XWorm kao početni malver za uspostavljanje upornih uporišta.
Analitičari iz Splunk-a su identifikovali da se ove operacije često završavaju implementacijom ransomware-a koristeći procurjele LockBit Black alate, čime se aktivnosti XWorm-a povezuju sa širim ekosistemima ransomware-a.
Analiza preko 1.000 uzoraka XWorm-a sa platforme Malware Bazaar otkrila je ponavljajuće phishing teme fokusirane na fakture, priznanice i obavještenja o isporuci, dizajnirane da izgledaju hitno i od ključne poslovne važnosti.
Zajednica za istraživanje prijetnji dokumentovala je XWorm-ove sofisticirane tehnike izbjegavanja, pri čemu su istraživači Splunk-a primijetili sposobnost malvera da “patch-uje” kritične sigurnosne funkcije Windows-a.
Malver specifično cilja funkciju AmsiScanBuffer() unutar biblioteke amsi.dll, efektivno onemogućavajući Antimalware Scan Interface koji omogućava sigurnosnom softveru da skenira skripte i sadržaj u memoriji prije izvršavanja.
Kroz složene manipulacije na sistemskom nivou, XWorm primjenjuje višeslojni pristup izbjegavanju Windows sigurnosnih mehanizama.
Malver implementira specijalizovane komponente koje sistematski onemogućavaju ključne sisteme za nadzor i detekciju direktnom manipulacijom memorije.
Prva komponenta fokusira se na zaobilaženje AMSI-a, koristeći specifičnu tehniku za modifikovanje skenirajuće funkcije.
Istovremeno, XWorm implementira drugi mehanizam za izbjegavanje koji cilja Event Tracing for Windows (ETW) tako što mijenja funkciju EtwEventWrite().
Ova tehnika efektivno “zasljepljuje” alate za sistemski nadzor sprječavanjem bilježenja zlonamjernih aktivnosti.
Malver postiže postojanost kroz više vektora, uključujući registry run ključeve i zakazane zadatke koji se referenciraju na VBS skripte i batch datoteke smještene u %appdata% direktorijumu.
Lanac infekcije pokazuje izuzetnu sofisticiranost u korištenju tehnika ubrizgavanja procesa, specifično ciljajući legitimne Windows procese kao što su Taskmgr, explorer i svchost.
XWorm ubrizgava shellcode u ove procese istovremeno kvačeći razne Windows API-je kako bi sakrio svoje prisustvo i održao prikrivene operacije.
Ovaj sveobuhvatni pristup manipulaciji sistemom predstavlja značajan evolucijski korak u mogućnostima RAT-ova, zahtijevajući podjednako sofisticirane strategije detekcije i ublažavanja od strane sigurnosnih timova.