I sistemi operativi Windows sono sotto attacco da una nuova variante del malware XWorm, che ha diverse capacità dannose. Questo software malintenzionato può controllare il desktop remoto, rubare informazioni e lanciare attacchi ransomware.
ANY.RUN ha pubblicato i risultati della sua ricerca sulle principali tendenze delle minacce informatiche nel Q2 2023, basata sull’analisi di 14.000 file e link sospetti ogni giorno. Il servizio ha scoperto che i RAT (Remote Access Trojans) e i loader sono le principali preoccupazioni di sicurezza, con un aumento del 12,8% rispetto al trimestre precedente. ANY.RUN ha analizzato il malware XWorm usando tecniche di analisi sandbox dinamica, analisi statica e ingegneria inversa.
Ha condiviso il suo rapporto con Cyber Security News, evidenziando le funzionalità e i meccanismi di evasione sofisticati del malware. Un utente di ANY.RUN ha inviato un campione criptato in un archivio RAR, scaricato da un servizio di hosting di file. Quando il campione è stato lanciato, le regole di rete di Suricata lo hanno identificato come XWorm. Il malware ha mostrato di creare una scorciatoia per l’avvio automatico, usare un meccanismo di pianificazione delle attività e tentare di connettersi a un server remoto.
Ha anche mostrato di verificare se era in esecuzione su una macchina fisica o virtuale, usando tecniche anti-evasione. L’analisi ha rivelato che il malware faceva una query per verificare se la macchina era ospitata o si trovava in un data center. Il malware si assicurava anche una posizione usando il registro e il pianificatore di attività.
L’analisi ha anche rivelato il processo di estrazione della configurazione del malware. Il malware calcolava un hash MD5, copiava l’hash due volte in un array e lo usava come chiave AES per decrittografare le stringhe base64. Così facendo, si ottenevano informazioni preziose sulle comunicazioni, i comportamenti e i meccanismi di persistenza del malware. La scoperta e l’analisi del malware XWorm dimostrano l’importanza di rimanere vigili e informati sulle minacce emergenti. Gli utenti e le aziende devono prendere misure preventive per proteggere i loro sistemi e dati.