Sumário
O XWorm é uma ferramenta versátil relativamente nova que foi descoberta em 2022. Ele permite que os invasores realizem uma variedade de funções, que incluem acessar informações confidenciais, obter acesso remoto e implantar malware adicional. A natureza multifacetada do xWorm é atraente para os agentes de ameaças, conforme evidenciado por seu suposto uso no início deste ano por agentes de ameaças como NullBulge e TA558.
Por meio dos esforços de busca do Netskope Threat Labs, descobrimos a versão mais recente do XWorm na natureza. Nesta postagem do blog, detalharemos o seguinte:
- A cadeia de infecção que leva à execução do XWorm.
- Execução evasiva do carregador de DLL do xWorm por meio do carregamento reflexivo de código.
- A injeção do xWorm em um processo legítimo.
- Os novos recursos do XWorm, que incluem a remoção de plug-ins e um comando de rede que informa o tempo de resposta do XWorm, junto com outros comandos notáveis.
- Notificação do invasor após a infecção usando o Telegram.
Fluxo de execução do XWorm
A seguir está o resumo do fluxo de execução do xWorm:
- A cadeia de infecção começa com o WSF baixando e executando um script PowerShell hospedado em paste.ee
- O script do PowerShell executa as seguintes ações:
A. Cria três scripts, a saber, VSLabs.vbs, VsEnhance.bat, e VSlabsData.ps1.
B. Cria uma tarefa agendada.
C. Envia uma notificação do Telegram para o atacante. - A tarefa agendada executa o VBScript chamado VSLabs.vbs.
- O VBScript executa um arquivo em lotes chamado VsEnhance.bat.
- O arquivo em lote executa um script do PowerShell chamado VSLabsData.ps1.
- O script do PowerShell carrega uma DLL maliciosa por meio do carregamento reflexivo de código.
- A DLL maliciosa injeta o XWorm em um processo legítimo e o executa.
XWorm dropper entregue via Windows Script File (WSF)
A cadeia de infecção começa com um Arquivo de Script do Windows (WSF), provavelmente entregue por meio de phishing. O arquivo do WSF começa com vários parágrafos sobre a Administração da Previdência Social por meio de uma série de linhas comentadas. No entanto, ele termina com um VBScript que baixa e executa um script do PowerShell usando o Wscript.Shell. Para evitar a detecção estática, o comando para baixar o script do PowerShell é codificado em hexadecimal e exige a concatenação de cadeias de caracteres.