Xworm se ha convertido en uno de los troyanos de acceso remoto más versátiles y distribuidos activamente en el panorama de amenazas actual, estableciéndose como una herramienta formidable en los arsenales de los cibercriminales.
Este sofisticado malware ha evolucionado mucho más allá de las capacidades tradicionales de ratas, incorporando características avanzadas que incluyen keylogging, acceso de escritorio remoto, exfiltración de datos y ejecución de comandos que lo hacen particularmente atractivo para los actores de amenaza que buscan un control integral del sistema.
El malware ha demostrado una notable adaptabilidad en sus mecanismos de entrega, empleando un enfoque dinámico que se vuelve en bicicleta a través de múltiples formatos de archivo y lenguajes de secuencias de comandos para evadir la detección.
A diferencia del malware convencional que se basa en las cadenas de infección fijas, Xworm aprovecha los scripts de PowerShell, los archivos VBS, los ejecutables .NET, JavaScript, los scripts de lotes e incluso las macros de oficina como vectores de ataque iniciales.
Esta capacidad de cambio de forma complica significativamente los esfuerzos de detección y sugiere una estrategia deliberada para eludir las defensas de los puntos finales y las tecnologías de sandboxing.
Las campañas recientes han mostrado a las organizaciones de orientación de Xworm dentro de la cadena de suministro de software y la industria del juego, con atacantes que implementan asyncrat y Xworm como malware de etapa inicial para establecer puntos de apoyo persistentes.
Analistas de Splunk identificado que estas operaciones a menudo culminan en la implementación de ransomware utilizando herramientas filtradas de Lockbit Black Builder, que vinculan las actividades de Xworm con los ecosistemas de ransomware más amplios.
El análisis de más de 1,000 muestras de XWorm del bazar de malware reveló temas de phishing recurrentes centrados en las facturas, los recibos y las notificaciones de entrega diseñadas para parecer urgentes y críticas de negocios.
La comunidad de investigación de amenazas ha documentado las sofisticadas técnicas de evasión de Xworm, con investigadores de Splunk que señalan la capacidad del malware para parchar las características críticas de seguridad de Windows.
Evadiendo la función AMSI de Windows (fuente – Splunk)
El malware se dirige específicamente a la función AmsiscanBuffer () dentro de la biblioteca AMSI.DLL, deshabilitando de manera efectiva la interfaz de escaneo de antimalware que permite que el software de seguridad escanee scripts y contenido en la memoria antes de la ejecución.
Evasión de defensa avanzada a través de la manipulación a nivel del sistema
La capacidad más preocupante de Xworm se encuentra en su enfoque de varias capas para evadir los mecanismos de seguridad de Windows.
El malware implementa componentes especializados que deshabilitan sistemáticamente los sistemas de monitoreo y detección de clave a través de la manipulación directa de la memoria.
El primer componente se centra en el bypass de AMSI, utilizando la siguiente técnica para parchear la función de escaneo:-
Intptr intptr = programa.a (programa.d, programa.e); byte () array2 = array; uint num; Program.c (intPtr, (uintptr) ((ulong) ((long) array2.length)), 64u, out num); Programa.Copy (Array2, IntPTR);
Simultáneamente, Xworm despliega un segundo mecanismo de evasión dirigido al rastreo de eventos para Windows (ETW) al parchear la función EtweventWrite ().
Esta técnica persigue efectivamente las herramientas de monitoreo del sistema al prevenir el registro de actividades maliciosas.
El malware logra la persistencia a través de múltiples vectores, incluidas las claves de ejecución del registro y las tareas programadas que hacen referencia a los scripts de VBS y los archivos de lotes caídos en el directorio % AppData %.
Xworm stager y estadísticas de muestreo de cargador (fuente – Splunk)
La cadena de infección demuestra una notable sofisticación en el uso de técnicas de inyección de proceso, específicamente dirigidos a procesos legítimos de ventanas, incluidos TaskMGR, Explorer y SVChost.
Xworm inyecta shellcode en estos procesos mientras simultáneamente engancha varias API de Windows para ocultar su presencia y mantener operaciones de sigilo.
Este enfoque integral para la manipulación del sistema representa una evolución significativa en las capacidades de ratas, que requiere estrategias de detección y mitigación igualmente sofisticadas de los equipos de seguridad.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
