Παραλλαγή του XWorm παραδίδεται μέσω Windows Script File
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Παραλλαγή του XWorm παραδίδεται μέσω Windows Script File
https://www.secnews.gr/622948/parallagi-xworm-paradidetai-meso-windows-script-file/
Oct 2nd 2024, 14:11
Οι ερευνητές της NetSkope εντόπισαν πρόσφατα μια νέα παραλλαγή του XWorm που παραδίδεται μέσω Windows Script File. Το XWorm αναφέρεται σε έναν τύπο κακόβουλου λογισμικού που έχει αναλυθεί για τις τεχνικές συσκότισης και τις πιθανές επιπτώσεις του στα συστήματα.
Δείτε επίσης: Το νέο worm CMoon στοχεύει Ρώσους σε επιθέσεις κλοπής δεδομένων
Αυτό το κακόβουλο λογισμικό είναι γνωστό για την ικανότητά του να συγκαλύπτεται και να αποφεύγει τον εντοπισμό, γεγονός που το καθιστά σημαντική απειλή για την κυβερνοασφάλεια.
Το XWorm είναι ένα ευέλικτο εργαλείο κακόβουλου λογισμικού που ανακαλύφθηκε το "2022" και από τότε έχει εξελιχθεί στην έκδοση 5.6 όπως ανακαλύφθηκε πρόσφατα από το "Netskope Threat Labs". Αυτή η απειλή "βασισμένη σε .NET" ξεκινά την αλυσίδα μόλυνσης μέσω ενός "Windows Script File" ("WSF"), το οποίο κατεβάζει και εκτελεί ένα ασαφές σενάριο "PowerShell" από το "paste[.]ee".
Το σενάριο δημιουργεί πολλαπλά αρχεία ("VsLabs.vbs", "VsEnhance.bat" και "VsLabsData.ps1") στο "C:\ProgramData\Music\Visuals" και εδραιώνει την επιμονή μέσω μιας προγραμματισμένης εργασίας που ονομάζεται "MicroSoftVisualsUpdater". Εκτός από αυτό, το XWorm χρησιμοποιεί τεχνικές αποφυγής όπως "ανακλαστική φόρτωση κώδικα ενός φορτωτή DLL" ("NewPE2") και "process injection σε νόμιμες διαδικασίες" όπως το "RegSvcs.exe."
Το XWorm επικοινωνεί με τον "διακομιστή εντολών και ελέγχου ("C2") μέσω "υποδοχών TCP", χρησιμοποιώντας "κρυπτογράφηση AES-ECB" με ένα τροποποιημένο "MD5 hash" ως κλειδί. Εδώ οι νέες δυνατότητες στην έκδοση 5.6 περιλαμβάνουν τη δυνατότητα αφαίρεσης πρόσθετων και μια εντολή "Pong" για την αναφορά χρόνου απόκρισης.
Το κακόβουλο λογισμικό πραγματοποιεί εκτεταμένη αναγνώριση συστήματος συλλέγοντας δεδομένα σχετικά με «υλισμικό», «λογισμικό» και «προνόμια χρήστη». Όχι μόνο ότι ειδοποιεί επίσης τους επιτιθέμενους μέσω του «Telegram» σε περίπτωση «επιτυχούς μόλυνσης».
Δείτε ακόμα: Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome
Αυτές οι εξελιγμένες τεχνικές επιτρέπουν στο "XWorm" να έχει πρόσβαση σε ευαίσθητες πληροφορίες, να αποκτήσει απομακρυσμένη πρόσβαση και να αναπτύξει πρόσθετο κακόβουλο λογισμικό, αποφεύγοντας τον εντοπισμό.
Το XWorm χρησιμοποιεί πολλαπλά διανύσματα επίθεσης και μπορεί να τροποποιήσει τα αρχεία κεντρικού υπολογιστή σε μολυσμένα συστήματα για να ανακατευθύνει τα αιτήματα DNS για κακόβουλους σκοπούς.
Το κακόβουλο λογισμικό εξαπολύει επιθέσεις «DDoS» στέλνοντας επαναλαμβανόμενα «αιτήματα POST» για να στοχεύσουν «διευθύνσεις IP» και «θύρες». Το XWorm καταγράφει επίσης «στιγμιότυπα οθόνης» χρησιμοποιώντας τη λειτουργία «CopyFromScreen» και τα αποθηκεύει ως εικόνες «JPEG» στη μνήμη πριν από τη μετάδοση.
Εκτελεί ένα ευρύ φάσμα εντολών όπως «χειρισμός συστήματος» («τερματισμός», «επανεκκίνηση», «αποσύνδεση»), «λειτουργίες αρχείων» και «απομακρυσμένη εκτέλεση κώδικα» μέσω του PowerShell. Μπορεί να κατεβάσει και να εκτελέσει πρόσθετα ωφέλιμα φορτία όπως "αποστολή αιτημάτων HTTP" και "μόνιμα εγκατάσταση προσθηκών".
Το XWorm χρησιμοποιεί μια καλά καθορισμένη μορφή μηνύματος για επικοινωνία στο back-channel του με τον διακομιστή C2 και συχνά προσθέτει επίσης τις «πληροφορίες συστήματος» του θύματος. Ένα άλλο χαρακτηριστικό είναι η «παρακολούθηση διαδικασίας», όπου ορισμένες λειτουργίες εκτελούνται κρυφά κρύβοντας ορισμένες δραστηριότητες από τον χρήστη.
Αυτή η ποικιλόμορφη εργαλειοθήκη επιτρέπει στους φορείς να έχουν εκτεταμένη πρόσβαση και έλεγχο στα συστήματα που έχουν παραβιαστεί, γεγονός που καθιστά το "XWorm" σημαντική απειλή στο σημερινό πεδίο της κυβερνοασφάλειας.
Δείτε επίσης: Το malware Warmcookie προωθείται μέσω ψεύτικων προσφορών εργασίας
Τα worm είναι ένας τύπος κακόβουλου λογισμικού που αναπαράγεται για να εξαπλωθεί σε άλλους υπολογιστές. Σε αντίθεση με τους ιούς, τα worms μπορούν να διαδοθούν χωρίς την ανάγκη ενός αρχείου κεντρικού υπολογιστή ή ανθρώπινης αλληλεπίδρασης, καθιστώντας τα ιδιαίτερα αποτελεσματικά στη διάδοση στα δίκτυα. Μόλις ένα worm διεισδύσει σε ένα σύστημα, μπορεί να προκαλέσει εκτεταμένη βλάβη καταναλώνοντας εύρος ζώνης, διαγράφοντας αρχεία ή ακόμα και ανοίγοντας backdoors για πρόσθετες επιθέσεις. Λόγω της ικανότητάς τους να εξαπλώνονται γρήγορα, τα worms μπορούν να διαταράξουν γρήγορα και σημαντικά τόσο την προσωπική όσο και την επαγγελματική ασφάλεια στον κυβερνοχώρο. Για την προστασία από μολύνσεις worms, οι τακτικές ενημερώσεις λογισμικού, τα ισχυρά προγράμματα προστασίας από ιούς και η ολοκληρωμένη παρακολούθηση δικτύου είναι ζωτικής σημασίας.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Παραλλαγή του XWorm παραδίδεται μέσω Windows Script File
https://www.secnews.gr/622948/parallagi-xworm-paradidetai-meso-windows-script-file/
Oct 2nd 2024, 14:11
Οι ερευνητές της NetSkope εντόπισαν πρόσφατα μια νέα παραλλαγή του XWorm που παραδίδεται μέσω Windows Script File. Το XWorm αναφέρεται σε έναν τύπο κακόβουλου λογισμικού που έχει αναλυθεί για τις τεχνικές συσκότισης και τις πιθανές επιπτώσεις του στα συστήματα.
Δείτε επίσης: Το νέο worm CMoon στοχεύει Ρώσους σε επιθέσεις κλοπής δεδομένων
Αυτό το κακόβουλο λογισμικό είναι γνωστό για την ικανότητά του να συγκαλύπτεται και να αποφεύγει τον εντοπισμό, γεγονός που το καθιστά σημαντική απειλή για την κυβερνοασφάλεια.
Το XWorm είναι ένα ευέλικτο εργαλείο κακόβουλου λογισμικού που ανακαλύφθηκε το "2022" και από τότε έχει εξελιχθεί στην έκδοση 5.6 όπως ανακαλύφθηκε πρόσφατα από το "Netskope Threat Labs". Αυτή η απειλή "βασισμένη σε .NET" ξεκινά την αλυσίδα μόλυνσης μέσω ενός "Windows Script File" ("WSF"), το οποίο κατεβάζει και εκτελεί ένα ασαφές σενάριο "PowerShell" από το "paste[.]ee".
Το σενάριο δημιουργεί πολλαπλά αρχεία ("VsLabs.vbs", "VsEnhance.bat" και "VsLabsData.ps1") στο "C:\ProgramData\Music\Visuals" και εδραιώνει την επιμονή μέσω μιας προγραμματισμένης εργασίας που ονομάζεται "MicroSoftVisualsUpdater". Εκτός από αυτό, το XWorm χρησιμοποιεί τεχνικές αποφυγής όπως "ανακλαστική φόρτωση κώδικα ενός φορτωτή DLL" ("NewPE2") και "process injection σε νόμιμες διαδικασίες" όπως το "RegSvcs.exe."
Το XWorm επικοινωνεί με τον "διακομιστή εντολών και ελέγχου ("C2") μέσω "υποδοχών TCP", χρησιμοποιώντας "κρυπτογράφηση AES-ECB" με ένα τροποποιημένο "MD5 hash" ως κλειδί. Εδώ οι νέες δυνατότητες στην έκδοση 5.6 περιλαμβάνουν τη δυνατότητα αφαίρεσης πρόσθετων και μια εντολή "Pong" για την αναφορά χρόνου απόκρισης.
Το κακόβουλο λογισμικό πραγματοποιεί εκτεταμένη αναγνώριση συστήματος συλλέγοντας δεδομένα σχετικά με «υλισμικό», «λογισμικό» και «προνόμια χρήστη». Όχι μόνο ότι ειδοποιεί επίσης τους επιτιθέμενους μέσω του «Telegram» σε περίπτωση «επιτυχούς μόλυνσης».
Δείτε ακόμα: Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome
Αυτές οι εξελιγμένες τεχνικές επιτρέπουν στο "XWorm" να έχει πρόσβαση σε ευαίσθητες πληροφορίες, να αποκτήσει απομακρυσμένη πρόσβαση και να αναπτύξει πρόσθετο κακόβουλο λογισμικό, αποφεύγοντας τον εντοπισμό.
Το XWorm χρησιμοποιεί πολλαπλά διανύσματα επίθεσης και μπορεί να τροποποιήσει τα αρχεία κεντρικού υπολογιστή σε μολυσμένα συστήματα για να ανακατευθύνει τα αιτήματα DNS για κακόβουλους σκοπούς.
Το κακόβουλο λογισμικό εξαπολύει επιθέσεις «DDoS» στέλνοντας επαναλαμβανόμενα «αιτήματα POST» για να στοχεύσουν «διευθύνσεις IP» και «θύρες». Το XWorm καταγράφει επίσης «στιγμιότυπα οθόνης» χρησιμοποιώντας τη λειτουργία «CopyFromScreen» και τα αποθηκεύει ως εικόνες «JPEG» στη μνήμη πριν από τη μετάδοση.
Εκτελεί ένα ευρύ φάσμα εντολών όπως «χειρισμός συστήματος» («τερματισμός», «επανεκκίνηση», «αποσύνδεση»), «λειτουργίες αρχείων» και «απομακρυσμένη εκτέλεση κώδικα» μέσω του PowerShell. Μπορεί να κατεβάσει και να εκτελέσει πρόσθετα ωφέλιμα φορτία όπως "αποστολή αιτημάτων HTTP" και "μόνιμα εγκατάσταση προσθηκών".
Το XWorm χρησιμοποιεί μια καλά καθορισμένη μορφή μηνύματος για επικοινωνία στο back-channel του με τον διακομιστή C2 και συχνά προσθέτει επίσης τις «πληροφορίες συστήματος» του θύματος. Ένα άλλο χαρακτηριστικό είναι η «παρακολούθηση διαδικασίας», όπου ορισμένες λειτουργίες εκτελούνται κρυφά κρύβοντας ορισμένες δραστηριότητες από τον χρήστη.
Αυτή η ποικιλόμορφη εργαλειοθήκη επιτρέπει στους φορείς να έχουν εκτεταμένη πρόσβαση και έλεγχο στα συστήματα που έχουν παραβιαστεί, γεγονός που καθιστά το "XWorm" σημαντική απειλή στο σημερινό πεδίο της κυβερνοασφάλειας.
Δείτε επίσης: Το malware Warmcookie προωθείται μέσω ψεύτικων προσφορών εργασίας
Τα worm είναι ένας τύπος κακόβουλου λογισμικού που αναπαράγεται για να εξαπλωθεί σε άλλους υπολογιστές. Σε αντίθεση με τους ιούς, τα worms μπορούν να διαδοθούν χωρίς την ανάγκη ενός αρχείου κεντρικού υπολογιστή ή ανθρώπινης αλληλεπίδρασης, καθιστώντας τα ιδιαίτερα αποτελεσματικά στη διάδοση στα δίκτυα. Μόλις ένα worm διεισδύσει σε ένα σύστημα, μπορεί να προκαλέσει εκτεταμένη βλάβη καταναλώνοντας εύρος ζώνης, διαγράφοντας αρχεία ή ακόμα και ανοίγοντας backdoors για πρόσθετες επιθέσεις. Λόγω της ικανότητάς τους να εξαπλώνονται γρήγορα, τα worms μπορούν να διαταράξουν γρήγορα και σημαντικά τόσο την προσωπική όσο και την επαγγελματική ασφάλεια στον κυβερνοχώρο. Για την προστασία από μολύνσεις worms, οι τακτικές ενημερώσεις λογισμικού, τα ισχυρά προγράμματα προστασίας από ιούς και η ολοκληρωμένη παρακολούθηση δικτύου είναι ζωτικής σημασίας.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια