XWorm新变种通过Windows脚本文件传播

XWorm 是一种恶意软件，其混淆技术和对系统的潜在影响已被分析。

这种恶意软件以其伪装和逃避检测的能力而闻名，这使其成为网络安全领域的重大威胁。

NetSkope 研究人员最近发现了一种通过 Windows 脚本文件传播的 XWorm 新变种。

⁤XWorm 是一种多功能恶意软件工具，于“2022 年”被发现，从那时起，它已经发展到 5.6 版本，最近被“Netskope 威胁实验室”发现。⁤

XWorm 通过 Windows 脚本传播

这种“基于 .NET”的威胁通过“Windows 脚本文件”（'WSF'）启动其感染链，该文件从“paste[.]ee”下载并执行混淆的“PowerShell 脚本”。⁤⁤

该脚本在“C:ProgramDataMusicVisuals”中创建多个文件（“VsLabs.vbs”、“VsEnhance.bat”和“VsLabsData.ps1”），并通过名为“MicroSoftVisualsUpdater”的计划任务建立持久性。⁤

除此之外，⁤XWorm 还采用了诸如“DLL 加载器的反射代码加载”（“NewPE2”）和“向合法进程注入进程”（例如“RegSvcs.exe”）等规避技术。⁤

它通过“TCP 套接字”与其“命令和控制 ('C2') 服务器”通信，使用“AES-ECB 加密”并以修改后的“MD5 哈希”作为密钥。

这里 v5.6 中的新功能包括删除插件的能力和用于响应时间报告的“Pong”命令。

该恶意软件通过收集“硬件”、“软件”和“用户权限”数据进行广泛的系统侦察。

不仅如此，一旦“成功感染”，它还会通过“Telegram”通知攻击者。

这些复杂的技术使“ XWorm ”能够“访问敏感信息”、“获得远程访问权限”并部署“其他恶意软件”，同时逃避检测。

XWorm 采用多种攻击媒介，可以修改受感染系统上的主机文件，以将 DNS 请求重定向到恶意目的。

该恶意软件通过向目标“IP 地址”和“端口”发送重复的“POST 请求”来发起“DDoS”攻击。

XWorm 使用“CopyFromScreen”功能捕获“屏幕截图”，并在传输之前将其作为“JPEG”图像存储在内存中。

它通过 PowerShell 执行各种命令，如“系统操作”（“关机”、“重启”、“注销”）、“文件操作”和“远程代码执行”。

该恶意软件可以下载并执行额外的负载，如“发送 HTTP 请求”和“持续安装插件”。

XWorm 使用明确定义的消息格式在其与 C2 服务器的后台通道中进行通信，并且通常还添加受害者的“系统信息”。

另一个功能是“过程监控”，通过向用户隐藏某些活动来秘密进行某些操作。

这种多样化的工具包使行为者能够广泛访问和控制已被入侵的系统，这使得“XWorm”成为当今网络安全生态系统中的重大威胁。

原文始发于微信公众号（河南等级保护测评）：XWorm新变种通过Windows脚本文件传播