Source : Trellix — Dans un billet de recherche, l’éditeur analyse l’évolution d’XWorm vers des tactiques plus trompeuses et une chaîne d’infection en plusieurs étapes, aujourd’hui largement observées en environnement d’entreprise.
L’infection débute via un fichier .lnk qui exécute des commandes PowerShell afin de télécharger discord.exe, lequel dépose ensuite main.exe et system32.exe. Les exécutables sont déguisés avec des noms et des icônes légitimes pour tromper l’utilisateur.
Le malware intègre des techniques anti‑analyse avancées : création de mutex (1JJyHGXN8Jb9yEZG), détection d’environnements virtualisés et auto‑termination. Il met en place une persistance via tâches planifiées et modifications de registre.
Pour l’évasion, XWorm désactive le Pare‑feu Windows par manipulation du registre et obfusque ses communications C2 au moyen du chiffrement Rijndael combiné à un encodage Base64.
Les capacités de la porte dérobée incluent un contrôle système étendu, des opérations sur fichiers et des fonctionnalités DDoS. Type d’article : analyse de menace visant à documenter la chaîne d’infection, les capacités et les techniques d’évasion d’XWorm.
IOC(s)
- Mutex : 1JJyHGXN8Jb9yEZG
- Artefacts/fichiers observés : .lnk initial, discord.exe, main.exe, system32.exe
TTPs (extraits)
- Initialisation : fichier .lnk menant à PowerShell (téléchargement/exec)
- Evasion : anti‑virtualisation, auto‑termination, désactivation du Pare‑feu (registre), obfuscation (Rijndael + Base64)
- Persistance : tâches planifiées, clés de registre
- Command & Control : communications C2 chiffrées/encodées
- Capacités : backdoor (contrôle système, fichiers), DDoS
🧠 TTPs et IOCs détectés
TTPs
[‘T1204.002 - User Execution: Malicious File’, ‘T1059.001 - Command and Scripting Interpreter: PowerShell’, ‘T1140 - Deobfuscate/Decode Files or Information’, ‘T1027 - Obfuscated Files or Information’, ‘T1083 - File and Directory Discovery’, ‘T1082 - System Information Discovery’, ‘T1012 - Query Registry’, ‘T1050 - New Service’, ‘T1053.005 - Scheduled Task/Job: Scheduled Task’, ‘T1112 - Modify Registry’, ‘T1562.004 - Impair Defenses: Disable or Modify System Firewall’, ‘T1027.002 - Obfuscated Files or Information: Software Packing’, ‘T1574.002 - Hijack Execution Flow: DLL Side-Loading’, ‘T1105 - Ingress Tool Transfer’, ‘T1041 - Exfiltration Over C2 Channel’, ‘T1102 - Web Service’, ‘T1568.002 - Dynamic Resolution: Domain Generation Algorithms’, ‘T1496 - Resource Hijacking’, ‘T1499 - Endpoint Denial of Service’]
IOCs
[‘Mutex: 1JJyHGXN8Jb9yEZG’, ‘Artefacts/Fichiers: .lnk initial, discord.exe, main.exe, system32.exe’]
🔗 Source originale : https://www.trellix.com/blogs/research/xworms-evolving-infection-chain-from-predictable-to-deceptive/