Yeni bir e -posta saldırısı dalgası yükseliyor ve tehlikeli olanı yüklemek için sahte fatura belgeleri olan insanları kandırıyor Xworm faresi Bilgisayarınızdan hassas bilgileri sessizce çalabilen (uzaktan erişim Trojan), ForcePoint X-Labs’ın son araştırmalarını ortaya koyuyor.
Dolandırıcı bir e -posta ile başlar, genellikle Brezo Sánchez adlı birinden “Facturas Pendientes de Pago” (ödeme için faturalar) hakkında gibi davranır. E -posta, uzantıya sahip ekli bir ofis dosyası içerir .xlam.
X-Labs araştırmacıları, dosyayı açtığınızda boş veya bozuk görünebileceğini, ancak hasarın zaten başladığını belirtiyor.
Saldırı zincirini anlamak
Bildiğimiz gibi, siber saldırılar genellikle bir adım zincirini takip eder ve bu son derece ayrıntılıdır. Ekteki ofis dosyasının içinde, oleObject1.binShellcode adı verilen şifreli bir kod içeren. Bu Shellcode, saldırının bir sonraki bölümünü hemen indiren küçük bir programdır.
Shellcode belirli bir web adresine ulaşır, hxxp://alpinreisan1com/UXOexeana kötü amaçlı programı indirmek için UXO.EXE adlı yürütülebilir bir dosya. Bu program daha sonra ikinci aşamayı başlatır- bilgisayarın belleğine başka bir zararlı DLL dosyası yükler (DriverFixPro.dll).
Bu yükleme, yansıtıcı DLL enjeksiyonu kullanılarak gerçekleşir (zararlı bir programı doğrudan normal bir dosya olarak kaydetmeden bilgisayarın belleğine yüklemenin sinsi bir yolu). Bu DLL nihayetinde, kötü amaçlı kodun bilgisayarınızdaki normal, zararsız bir programın içinde çalışmaya zorlanmasını içeren bir işlem enjeksiyonu gerçekleştirir. Bu son enjekte edilen kod Xworm’a ait FARE aile.
Xworm: Kalıcı bir tehdit
ForcePoint’in kıdemli araştırmacısı Prashant Kumar, Blog yazısı Xworm’un yeteneklerinin tam almasına izin veriyor uzaktan kumanda Enfekte bir sistem üzerinden, dosyaları çalmaktan tuş vuruşlarına kadar.
Proses enjeksiyonu yoluyla, kötü amaçlı yazılım güvenilir bir uygulama içinde gizlice çalışır ve tespitten kaçınırken kalıcılığı başarıyla korur. Son olarak, Xworm programı bir komut ve kontrol (C2) sunucusuna, özellikle 158.94.209180kurbanın çalınan verilerini saldırganlara göndermek için.
Çok aşamalı saldırı ile ilgili bu önemli araştırma sadece hackread.com ile paylaşıldı. Ancak, Xworm tehdidinin bu yıl ilk kez görülmediğini belirtmek gerekir.
Ocak 2025’te hackread.com bildirilmiş Küresel olarak 18.459’dan fazla cihazı tehlikeye atan, tarayıcı şifrelerini ve uyumsuzluk jetonlarını çalan bir Xworm kampanyası. Sonra, Mart 2025’te Veriti’nin araştırma Xworm’un zararlı dosyalarını dağıtmak için Amazon Web Services (AWS) S3 depolama gibi güvenilir platformları kullandığını açıkladı.
Kendinizi bu tür saldırılardan korumak için, özellikle bitenler, özellikle de bitenler konusunda dikkatli olun .xlam veya .binGöndereni arayarak beklenmedik faturaları doğrulayın ve işletim sisteminizi ve güvenlik yazılımınızı düzenli olarak güncelleyin.