Elementi importanti dell’analisi:
- Distribuzione del codice sorgente di malware XWorm e RATs via forums Darknet
- Presenza di tasks di persistenza
- Moduli di data logging e data stealing
- Presenza di moduli ransomware interni a RAT threats
- Cryptowallets stealing
- Connessioni C&C
- Threats vendibili sul mercato nero e personalizzabili da qualunque threat actor
- Attributi dell’infection kill chain hardcoded nel codice sorgente
- Anti-Analysis, Anti-VM, Anti-Sandboxing ed evasion
- Remote access management con i protocolli RDP e VNC
- Mutexes harcoded nel codice sorgente
- UAC bypasses mediante il processo cmstp.exe
Introduzione
Nella presente analisi è stato preso in considerazione un malware sample XWorm ottenuto da un forum Darknet che permette il download del codice sorgente e dei samples compilati solo nel caso in cui vi è una reaction del post da parte di un utente.
XWorm è una tipologia di threat RAT (Remote Access Trojan) venduto nella Darknet in maniera illecita e ha come obiettivo quello di sottrarre informazioni e dati sensibili agli utenti vittima, tra cui dati di login, informazioni dei cryptowallets, accounts con anche capacità di keylogging. Il threat ha iniziato a circolare in rete da Luglio 2022. All’interno del post del forum su Darkweb, dal quale è stata scaricata, la minaccia viene distribuita mediante un pacchetto SFX autoestraente.
Approfondisci l’analisi:
