XWorm RAT оброс разнородными загрузчиками для обхода защиты Windows

Татьяна Никитина 08 Июля 2025 - 13:40

Домашние пользователи

...

Распространители XWorm усложнили цепочку заражения, включив в нее множество различных стейджеров и лоадеров, чтобы уберечь трояна удаленного доступа от обнаружения и повысить эффективность доставки целевой полезной нагрузки.

Новые проводники XWorm пытаются подавить Windows-защиту AMSI и ETW, а также обеспечивают закрепление в системе средствами реестра и планировщика задач.

Для сокрытия вредоносных функций все эти загрузчики используют обфускацию (Base64 и шифрование по AES). Схема доставки пейлоада динамически изменяется и характерна разнообразием файловых форматов и языков сценариев — PowerShell, VBS, NET-экзешники, JavaScript, пакетные скрипты, .hta, .lnk, .iso, .vhd, .img, макросы Microsoft Office.

Сам обновленный XWorm прежде всего собирает сведения о зараженной системе: проверяет через WMI наличие антивирусов, драйверов видеозахвата, получает информацию о CPU, а также пытается обезвредить Microsoft Defender, добавив свои файлы в исключения.

Вредонос по-прежнему использует инъекции в процессы и владеет техникой DLL side-loading. Выступая в роли бэкдора, он выполняет команды, подаваемые с C2-сервера, и не утратил способность самостоятельно распространяться через съемные носители.

Для распространения трояна используются имейл-вложения и поддельные документы, встроенные в тело сообщений, имитирующих деловую переписку (поддельные уведомления о счетах к оплате, об отгрузке товара и т. п.).

В ходе одной из XWorm-кампаний его раздавали в связке с AsyncRAT, чтобы обеспечить надежный плацдарм для развертывания в сетях шифровальщика, созданного с помощью слитого в Сеть билдера LockBit Black.

С начала июля зловредный RAT также раздают с использованием стеганографии. После отработки начального VBScript (как вариант — JavaScript) в системе запускается встроенный PowerShell-код, который загружает файл JPG с NET-лоадером и финальным зловредом.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июля 2025 - 15:29

Домашние пользователи Корпорации Системы аутентификации Passkey (ключ доступа)Биометрические системы аутентификации Парольная защита (пароли) Яндекс

94% пользователей Яндекс ID перешли на вход без пароля

Сервис Яндекс ID существует уже 25 лет. Сейчас это не просто способ авторизации, а единый аккаунт, с которым люди входят в разные сервисы. Ежедневно через него активны более 136 миллионов аккаунтов — это на 15% больше, чем год назад. Главное изменение последних лет — резкий рост беспарольной аутентификации.

В 2023 году такие способы использовали 46% пользователей, в 2024 — уже 68%, а в 2025 — 94%. Люди всё чаще отказываются от паролей в пользу одноразовых кодов, отпечатков пальцев или распознавания лица. Например, вход по биометрии за год подключили более 16 миллионов человек.

Наиболее популярный способ — код из СМС (43% пользователей), за ним идёт пуш-уведомление (37%), ещё 7% используют логин и код из пуша. В зависимости от возраста и привычек предпочтения отличаются: старшие пользователи чаще выбирают СМС, молодёжь — пуши.

Мужчины чаще используют биометрию и QR-коды, женщины — вход по номеру телефона. Всё это снижает нагрузку на память (не нужно запоминать пароли) и повышает безопасность.

При этом сама система авторизации активно защищается: только в прошлом году было предотвращено 4,4 млн попыток входа с украденными паролями.

Напомним, в октябре прошлого года Яндекс ID подтвердил соответствие Отраслевому стандарту защиты данных. Не так давно мы также писали, что в Яндекс ID появилась возможность проверить и повысить защиту аккаунта.

В феврале 2024-го Яндекс ID добавил аутентификацию с помощью сканирования отпечатка пальца или лица.