XWorm se istakao kao jedan od najaktivnijih i najraznovrsnijih trojanaca za udaljeni pristup na današnjem sajber bezbjednosnom tržištu, postajući značajno oružje u arsenalu sajber kriminalaca.
Ovaj sofisticirani zlonamjerni softver prevazišao je tradicionalne mogućnosti RAT-ova, integrirajući napredne funkcije poput snimanja pritisaka na tastaturu, pristupa udaljenoj radnoj površini, iznošenja podataka i izvršavanja komandi, što ga čini posebno privlačnim za napadače koji žele potpunu kontrolu nad sistemima.
Malware je pokazao izuzetnu prilagodljivost u svojim mehanizmima dostave, primjenjujući dinamičan pristup koji uključuje više formata datoteka i skriptnih jezika kako bi izbjegao otkrivanje.
Za razliku od uobičajenog zlonamjernog softvera koji se oslanja na fiksirane lance infekcija, XWorm koristi PowerShell skripte, VBS datoteke, .NET izvršne datoteke, JavaScript, batch skripte, pa čak i Office makro kao početne vektore napada.
Ova sposobnost promjene oblika značajno komplikuje napore za otkrivanje i ukazuje na namjernu strategiju za probijanje odbrana na krajnjim tačkama i tehnologija za izolaciju (sandboxing).
Nedavne kampanje su pokazale da XWorm cilja organizacije u lancu snabdijevanja softvera i u industriji igara, pri čemu napadači koriste AsyncRAT i XWorm kao malver prve faze za uspostavljanje uporišta.
Analitičari kompanije Splunk su utvrdili da se ove operacije često završavaju uvođenjem ransomwarea koristeći procurele alate za izradu LockBit Black, povezujući aktivnosti XWorm-a sa širim ekosistemima ransomwarea.
Analiza preko 1.000 uzoraka XWorm-a iz Malware Bazaar otkrila je ponavljajuće teme phishinga usredsređene na fakture, priznanice i obavještenja o isporuci, dizajnirane da izgledaju hitno i kritično za poslovanje.
Zajednica stručnjaka za sajber sigurnost dokumentovala je sofisticirane tehnike izbjegavanja koje koristi XWorm, pri čemu su Splunkovi istraživači zabilježili sposobnost malvera da modifikuje ključne sigurnosne funkcije Windowsa.
Malver specifično cilja funkciju AmsiScanBuffer() unutar biblioteke amsi.dll, efektivno onemogućavajući Antimalware Scan Interface koji omogućava sigurnosnom softveru da skenira skripte i sadržaj u memoriji prije izvršavanja.
XWorm-ova najzabrinjavajuća mogućnost leži u njegovom višeslojnom pristupu izbjegavanju sigurnosnih mehanizama Windowsa.
Malver uvodi specijalizovane komponente koje sistematski onemogućavaju ključne sisteme za praćenje i detekciju putem direktne manipulacije memorijom.
Prva komponenta se fokusira na zaobilaženje AMSI-ja, koristeći specifičnu tehniku za modifikaciju funkcije skeniranja.
Istovremeno, XWorm uvodi drugi mehanizam za izbjegavanje ciljajući Event Tracing for Windows (ETW) modifikovanjem funkcije EtwEventWrite().
Ova tehnika efektivno zasljepljuje alate za praćenje sistema sprječavajući bilježenje zlonamjernih aktivnosti.
Malver postiže postojanost putem više vektora, uključujući ključeve za automatsko pokretanje u registru i zakazane zadatke koji upućuju na VBS skripte i batch datoteke smještene u direktorijumu %appdata%.
Lanac infekcije pokazuje izuzetnu sofisticiranost u korištenju tehnika ubrizgavanja procesa, posebno ciljajući legitimne Windows procese kao što su Taskmgr, explorer i svchost.
XWorm ubrizgava shellcode u ove procese istovremeno “hookirajući” razne Windows API-je kako bi sakrio svoje prisustvo i održao prikrivene operacije.
Ovaj sveobuhvatni pristup manipulaciji sistemom predstavlja značajan napredak u mogućnostima RAT-ova, zahtijevajući podjednako sofisticirane strategije detekcije i ublažavanja od strane sigurnosnih timova.
