Uma Nova Onda de Ataques Cibernétics Revela O Avanço Das Técricas de Evasão e Persistênia Digital Por Parte de Grupos Maliciosos. A Versão 6.0 do Trojan Xworm, Decoberta Pelo Netskope Laboratórios de Ameaças, representam Marco na evolução de Malwares que operando exclusivamento na Memória ram, sem deixar rastros sem discote com capacidade de comunicação remota via protocolo
Leia Tamboma
Comunidade Internacional Vê Alto Risco Sem aranha dispersa
DOIS ARESOS NA Investigaça Sobre Roubo Bilionário Uma Cadeia de Suprimentos
O AtaQue Começa com um script de entrada e um script em vbscript, desfarçado como arquivo Inofensivo e distribui por meio de Campannhas de phishing. O cáldigo utiliza funções como chrw e avaliação para reconstruir e executar um carga maliciosa diretamenthe na execução, dificultando a análise estótica. Após um infecção, o script se réplica em diretórios temporarios e sem appdata, soluço de “Atualize.vbs”, e se Registra No Carregamento Automático por meio de Chaves do Registro, abandono o uso anterior do Antendador de Tarefas.
Para Garantir, uma execução silenciosa, O malware ALTERA A Biblioteca clr.dll, desativando o mecanismo amsi (interface de varredura antimalware) faz o Windows. ESSA MODIFICAÇÃO DE LOCAÇÃO O CÓDIGO MALICIOSO SEJA EXECUTADO SEM SER INTERCETADO POR FERRAMENTAS DE PROTEÇÃO. Em Seguida, o Trojan Baxa Seu binário diretor diretório de um repositório no github, utilizando um biblioteca .net http.client, eo carrega na memórória com o método.
Uma nova Montagem, identificada como “Microsoft.exe”, Estabelece comunicação com O Servidor de Controle por Meio de TCP, Utilizando uma configuração codificada em base64. SE executado com privilégios Administrativos, o Xworm Ativa o Sedebugprivilege e Se Marca Como Processo crítico do Sistema. Qualquer Tentative de Enderramento resulta em travamento e reinicializaça do Sistema, Momento em que o malware é reativado automaticate graças à persistinncia registra.
Como técricas de evasão também foram aprimoradas. O Trojan encerra sua execução se detectar o está operando em versões antigas fazem janelas, como o xp, ou se o earreço ip da víima estiver vinculado a provouges de hosplem ou centros de dadas, uma estratégia para evitares A Coleta de Informaça inclui Dados Sobre O Nome do Host, Caractersticas da Cpu e GPU, Além do Status de Antivírus, Que São Enviades Ao Servidor de Controle.
Entre os Novos comandos denponíveis, estão a remoção de plug-ins para apagar rastros, Ataques ddos com os múltiplos fluxos, manipulaça do arquivo de hosts e captura de tela compressão jpeg via memória e bitmap. O construtor Xworm OFERECE AOS ATACANTES FLEXIBILIDADA NA ESCOLHA DO MÉTODO DE FIXAÇÃO, Permitindo VariAÇÕES Estruturais Nas Próxelos versões, mas -mantendo do foco em inventário, estabilidade e contro total de sistro.
Como assinaturas de detecção inclUem gen: variant.jalapeno.683 e msil.backdoor.xworm, e os indicadores de comprometimento já estão descartíssimo para análise. Segundo os especialistas da Netskope, o Monitoramento de Atividades Sistêmicas-Especialmente alteram o Registro e execuções em Convencionais por PowerShell e .Net-Torna-se essencial para o departamento de detectivação.
O xworm v6 é um exemplo claro da transição dos malwares modernos para modelos sem arquivos, que se escandem como processos legítimos e desativam mecanismos de protefão de mesmo que phom ser acionados.
