Кибербезопасность столкнулась с новой опасной реальностью: эксперты Netskope
Ссылка скрыта от гостей
продвинутую версию трояна XWorm (v6), кардинально меняющую правила игры. Его ключевая особенность – полный отказ от файловой модели. В отличие от большинства вредоносов, XWorm V6 не сохраняет компоненты на диск, функционируя исключительно в оперативной памяти (RAM). Это делает его практически невидимым для классических антивирусов, полагающихся на статический анализ файлов.Скрытая Инфекция:
- Атака стартует с обманчиво безобидного VBScript, распространяемого фишингом.
- Скрипт запускает PowerShell, который в памяти собирает полезную нагрузку, маскирует источник загрузки и обходит защиту Windows (включая AMSI).
- Основной модуль прямо из GitHub загружается в RAM через Assembly.Load, не оставляя следов на диске – это файлово-независимая угроза.
- Троян связывается с C&C сервером по TCP.
- Получив админ-права, он маскируется под критический системный процесс. Попытки завершить его приводят к аварийной перезагрузке системы.
- Вредонос анализирует окружение (IP-адрес) и самоуничтожается при обнаружении песочницы или хостинг-сервера.
XWorm V6 способен на сбор системных данных, запуск DDoS-атак, скрытый скриншотинг и манипуляции с файлом hosts. Netskope подчеркивает: традиционные антивирусы бессильны против таких атак. Главная защита – постоянный мониторинг:
- Подозрительной активности PowerShell и реестра.
- Аномалий в сетевом трафике и поведении процессов.
- Использование EDR-решений и файрволов нового поколения.