Cet article de recherche publié par l’équipe de recherche sur les menaces de Splunk explore les tactiques d’évasion et l’évolution du malware XWorm, un cheval de Troie d’accès à distance (RAT) utilisé par des cybercriminels.
XWorm est connu pour sa capacité à enregistrer les frappes clavier, accéder à distance à un bureau, exfiltrer des données et exécuter des commandes. Il est souvent utilisé par des acteurs malveillants ciblant les chaînes d’approvisionnement logicielles et l’industrie du jeu vidéo. Une campagne notable a vu XWorm utilisé en tandem avec AsyncRAT pour déployer des charges utiles de ransomware LockBit Black.
Le malware se distingue par l’utilisation de stagers et loaders variés pour contourner les détections, exploitant des formats de fichiers divers tels que PowerShell, VBS, JavaScript, et des macros Office. Cette approche rend la détection difficile et montre une stratégie délibérée pour éviter les défenses des points finaux et les outils de sandboxing.
L’article détaille les techniques d’obfuscation utilisées par XWorm pour éviter l’analyse, ainsi que ses méthodes pour désactiver des outils de sécurité comme AMSI et ETW sur Windows. Il met également en lumière les techniques de persistance et d’escalade de privilèges employées par le malware.
Enfin, l’article propose des détections Splunk pour identifier les activités suspectes liées à XWorm en utilisant des outils de surveillance comme Splunk Enterprise Security. L’objectif principal est d’aider les analystes de sécurité à identifier et à atténuer cette menace.
🔗 Source originale : https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html