News XWorm V6: Невидимая угроза в памяти – Новая эра вредоносного ПО

Кибербезопасность столкнулась с новой опасной реальностью: эксперты Netskope

Ссылка скрыта от гостей

продвинутую версию трояна XWorm (v6), кардинально меняющую правила игры. Его ключевая особенность – полный отказ от файловой модели. В отличие от большинства вредоносов, XWorm V6 не сохраняет компоненты на диск, функционируя исключительно в оперативной памяти (RAM). Это делает его практически невидимым для классических антивирусов, полагающихся на статический анализ файлов.

Скрытая Инфекция:

• Атака стартует с обманчиво безобидного VBScript, распространяемого фишингом.
• Скрипт запускает PowerShell, который в памяти собирает полезную нагрузку, маскирует источник загрузки и обходит защиту Windows (включая AMSI).
• Основной модуль прямо из GitHub загружается в RAM через Assembly.Load, не оставляя следов на диске – это файлово-независимая угроза.

Сложность Обнаружения и Устранения:

• Троян связывается с C&C сервером по TCP.
• Получив админ-права, он маскируется под критический системный процесс. Попытки завершить его приводят к аварийной перезагрузке системы.
• Вредонос анализирует окружение (IP-адрес) и самоуничтожается при обнаружении песочницы или хостинг-сервера.

Функционал и Защита:
XWorm V6 способен на сбор системных данных, запуск DDoS-атак, скрытый скриншотинг и манипуляции с файлом hosts. Netskope подчеркивает: традиционные антивирусы бессильны против таких атак. Главная защита – постоянный мониторинг:

• Подозрительной активности PowerShell и реестра.
• Аномалий в сетевом трафике и поведении процессов.
• Использование EDR-решений и файрволов нового поколения.

XWorm V6 – яркий пример новой волны бесфайловых вредоносов, действующих скрытно и молниеносно прямо в памяти. Это сигнал для ИБ-сообщества: необходимы продвинутые методы поведенческого анализа и проактивного мониторинга для борьбы с "цифровыми призраками".