Эксперты Netskope выявили новую версию вредоносного ПО XWorm (v6), которая полностью уходит от привычной файловой модели.
В отличие от большинства троянов, XWorm не сохраняет свои компоненты на диск, а действует исключительно в оперативной памяти.
Такой подход делает его практически неуязвимым для статического анализа и обнаружения традиционными антивирусами.
Инфекция начинается с безобидного на вид VBScript-файла, распространяемого через фишинг. Он активирует PowerShell-скрипт, собирающий полезную нагрузку в памяти, скрывает источник загрузки и обходит защитные механизмы Windows, включая AMSI. Основной модуль XWorm подгружается с GitHub напрямую в память через Assembly.Load, не оставляя следов на диске.
Троян использует TCP-соединение с управляющим сервером, а при запуске с правами администратора присваивает себе статус критического системного процесса. Любая попытка его завершить вызывает сбой и перезагрузку системы. Он также анализирует IP-адрес пользователя и прекращает работу, если запущен в песочнице или на хостинг-сервере.
Среди функций — сбор системной информации, DDoS-атаки, редактирование hosts-файла и скрытая съёмка скриншотов. Netskope подчёркивает, что главное Орудие против подобных угроз — не антивирусы, а постоянный мониторинг активности PowerShell, реестра и аномалий в поведении системы. XWorm V6 — пример новой волны вредоносов, прячущихся в памяти и действующих молниеносно.
В отличие от большинства троянов, XWorm не сохраняет свои компоненты на диск, а действует исключительно в оперативной памяти.
Такой подход делает его практически неуязвимым для статического анализа и обнаружения традиционными антивирусами.
Инфекция начинается с безобидного на вид VBScript-файла, распространяемого через фишинг. Он активирует PowerShell-скрипт, собирающий полезную нагрузку в памяти, скрывает источник загрузки и обходит защитные механизмы Windows, включая AMSI. Основной модуль XWorm подгружается с GitHub напрямую в память через Assembly.Load, не оставляя следов на диске.
Троян использует TCP-соединение с управляющим сервером, а при запуске с правами администратора присваивает себе статус критического системного процесса. Любая попытка его завершить вызывает сбой и перезагрузку системы. Он также анализирует IP-адрес пользователя и прекращает работу, если запущен в песочнице или на хостинг-сервере.
Среди функций — сбор системной информации, DDoS-атаки, редактирование hosts-файла и скрытая съёмка скриншотов. Netskope подчёркивает, что главное Орудие против подобных угроз — не антивирусы, а постоянный мониторинг активности PowerShell, реестра и аномалий в поведении системы. XWorm V6 — пример новой волны вредоносов, прячущихся в памяти и действующих молниеносно.
