News XWorm V6: Невидимая угроза в памяти – Новая эра вредоносного ПО

1754324028012.webp


Кибербезопасность столкнулась с новой опасной реальностью: эксперты Netskope продвинутую версию трояна XWorm (v6), кардинально меняющую правила игры. Его ключевая особенность – полный отказ от файловой модели. В отличие от большинства вредоносов, XWorm V6 не сохраняет компоненты на диск, функционируя исключительно в оперативной памяти (RAM). Это делает его практически невидимым для классических антивирусов, полагающихся на статический анализ файлов.

Скрытая Инфекция:
  • Атака стартует с обманчиво безобидного VBScript, распространяемого фишингом.
  • Скрипт запускает PowerShell, который в памяти собирает полезную нагрузку, маскирует источник загрузки и обходит защиту Windows (включая AMSI).
  • Основной модуль прямо из GitHub загружается в RAM через Assembly.Load, не оставляя следов на диске – это файлово-независимая угроза.
Сложность Обнаружения и Устранения:
  • Троян связывается с C&C сервером по TCP.
  • Получив админ-права, он маскируется под критический системный процесс. Попытки завершить его приводят к аварийной перезагрузке системы.
  • Вредонос анализирует окружение (IP-адрес) и самоуничтожается при обнаружении песочницы или хостинг-сервера.
Функционал и Защита:
XWorm V6 способен на сбор системных данных, запуск DDoS-атак, скрытый скриншотинг и манипуляции с файлом hosts. Netskope подчеркивает: традиционные антивирусы бессильны против таких атак. Главная защита – постоянный мониторинг:
  • Подозрительной активности PowerShell и реестра.
  • Аномалий в сетевом трафике и поведении процессов.
  • Использование EDR-решений и файрволов нового поколения.
XWorm V6 – яркий пример новой волны бесфайловых вредоносов, действующих скрытно и молниеносно прямо в памяти. Это сигнал для ИБ-сообщества: необходимы продвинутые методы поведенческого анализа и проактивного мониторинга для борьбы с "цифровыми призраками".
 
  • Нравится
Реакции: Koloboking
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab