Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Spyware XDDown

XDDown

Por GoldSparrow em Spyware
Traduzir Para:
Português

XDDown é o nome dado à principal ferramenta de malware implantada em campanhas de ameaças pelo XDSpy, um grupo de hackers classificado como Advanced Persistent Threat (ATP) e possivelmente patrocinado pelo estado. Os hackers até agora concentraram suas atividades criminosas na região da Europa Oriental e nos Bálcãs. As entidades afetadas foram detectadas na Bielo-Rússia, Rússia, Moldávia, Sérvia e Ucrânia.

O vetor de ataque usado para a distribuição do XDDown e, na verdade, o único método de ataque atribuído ao XDSpy é o spear-phishing. O texto dos e-mails é atualizado regularmente e tira proveito dos eventos atuais, como a pandemia COVID-19. Os anexos envenenados também sofreram uma rápida mudança. O XDSpy usou arquivos ZIP e RAR para transportar um arquivo PowerPoint ou LNK ameaçador. Em alguns casos, os e-mails não tinham arquivos anexados, mas continham um link direto para download.

Se o usuário desavisado executar o arquivo no arquivo, ele iniciará um script corrompido. Até agora, dois scripts distintos foram observados, mas seu objetivo final é o mesmo - colocar o XDDown na máquina comprometida em um local codificado em% APPDATA%\WINinit\WINlogon.exe.

XDDown é um Simples Downloader, Mas Muito Eficaz

O XDDown pode ser a principal ferramenta de malware no arsenal do XDSpy , mas, por si só, a ameaça representa um downloader bastante básico. Seu único propósito é ser responsável pela entrega de outros seis módulos de malware do XDSpy e não possui nenhuma outra funcionalidade. A persistência é obtida explorando uma chave Run do registro do Windows por meio do comando HKCU Simples\Software\Microsoft\Windows\CurrentVersion\Run\. Observou-se que duas versões do XDDown estão ativas em estado selvagem - uma de 32 bits e outra de 64 bits.

Para entregar o restante dos módulos corrompidos, o XDDown estabelece uma conexão com a infraestrutura de Comando e Controle fazendo solicitações GET regulares. Para o download de todos os seis módulos, três solicitações GET separadas são necessárias. Os módulos não têm persistência e precisam ser baixados novamente sempre que o usuário comprometido faz login. Os nomes atribuídos a eles pelos pesquisadores são XDRecon, XDList, XDMonitor, XDUpload, XDLoc e XDPass, e todos eles estão na forma de arquivos DLL do Windows.

Enquanto a maioria dos grupos de hackers APT modernos está indo no caminho de estruturas de malware mais complexas que incluem vários comandos backdoor, o XDSpy ainda depende de ferramentas relativamente pouco sofisticadas.

Tendendo

Mais visto

Carregando...