Una variante del malware XWorm recentemente scoperta rappresenta una minaccia significativa per i sistemi operativi Windows. Questo software dannoso possiede diverse capacità, tra cui il controllo del desktop remoto, il furto di informazioni e la capacità di condurre attacchi ransomware. Di conseguenza, gli utenti Windows devono adottare le misure necessarie per proteggere i loro sistemi da questa pericolosa minaccia.
Dettagli su XWorm
XWorm è un programma software dannoso progettato per infiltrarsi nei sistemi operativi Windows. Ha guadagnato notorietà come uno dei malware più frequentemente utilizzati su piattaforme come ANY.RUN. Quest’ultimo, un sandbox online interattivo per l’analisi rapida del malware, ha pubblicato i risultati della sua ricerca sulle principali tendenze delle minacce informatiche nel Q2 2023. Il servizio, che analizza 14.000 file e link sospetti ogni giorno, ha scoperto che i RAT (Remote Access Trojans) e i loader hanno consolidato ulteriormente la loro posizione come principali preoccupazioni di sicurezza, mostrando un aumento del 12,8% trimestre su trimestre.
Analisi tecnica di una nuova versione di malware
Secondo il rapporto condiviso con Cyber Security News, ANY.RUN ha scoperto il malware XWorm utilizzando tecniche di analisi sandbox dinamica, analisi statica e ingegneria inversa, mettendo in luce le sue sofisticate funzionalità e meccanismi di evasione. Un utente di ANY.RUN ha inviato un campione scaricato da un servizio di hosting di file e criptato all’interno di un archivio RAR. Al lancio, le regole di rete di Suricata lo hanno prontamente identificato come XWorm. L’applicazione ha mostrato caratteristiche come la creazione di una scorciatoia per l’avvio automatico, l’utilizzo di un meccanismo di pianificazione delle attività e il tentativo di connettersi a un server remoto. Inoltre, il software ha mostrato un comportamento unico nel tentativo di verificare se è in esecuzione su una macchina fisica o virtuale, utilizzando quindi tecniche anti-evasione.
Ingegneria inversa: Tecniche anti-evasione aggiuntive
L’analisi ha rivelato una query per verificare se la macchina corrente è ospitata o si trova in un data center. Il campione guadagna anche una posizione utilizzando il registro e il pianificatore di attività.
Ingegneria inversa: Estrazione della configurazione XWorm
Attraverso l’ingegneria inversa, hanno scoperto il processo di estrazione della configurazione del malware. La decrittazione della configurazione ha coinvolto il calcolo di un hash MD5, copiando l’hash due volte in un array e utilizzandolo come chiave AES per decrittografare le stringhe base64. Estraendo la configurazione del malware, si sono ottenute preziose informazioni sulle sue comunicazioni, comportamenti e meccanismi di persistenza.
La scoperta e l’analisi del malware XWorm sottolineano l’importanza di rimanere vigili e informati sulle minacce emergenti. Gli utenti e le aziende devono adottare misure preventive per proteggere i loro sistemi e dati.