Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware XDigo

Programe malware XDigo

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o nouă campanie de spionaj cibernetic care implică un program de tip „stealer” bazat pe Go, numit XDigo, care a fost implementat în martie 2025 împotriva organizațiilor guvernamentale din Europa de Est. Malware-ul este legat de grupul de actori periculoși persistent XDSpy, activ în regiune cel puțin din 2011.

Revenirea XDSpy: Un deceniu de supraveghere

XDSpy este un grup de spionaj cibernetic bine documentat, cunoscut pentru ținta agențiilor guvernamentale din Europa de Est și Balcani. Analizat public pentru prima dată în 2020, XDSpy a menținut un model constant de activitate, evoluându-și setul de instrumente și domeniul de aplicare al atacurilor de-a lungul anilor.

Campanii recente atribuite grupării au afectat organizații din Rusia și Moldova, implementând familii de programe malware precum UTask, XDDown și DSDownader - instrumente concepute pentru a descărca sarcini suplimentare și a extrage date sensibile din sistemele infectate.

Exploatarea LNK: Pericolul ascuns în spatele scurtăturilor Windows

Campania XDigo folosește un lanț de atac în mai multe etape care începe cu fișiere de comenzi rapide Windows (.LNK), exploatând o vulnerabilitate de execuție de cod la distanță în Microsoft Windows, identificată ca ZDI-CAN-25373, dezvăluită public în martie 2025.

Această vulnerabilitate provine din gestionarea necorespunzătoare a fișierelor LNK special create, permițând conținutului rău intenționat să rămână invizibil în interfața cu utilizatorul, dar să execute totuși cod în contextul utilizatorului curent. O inspecție suplimentară a relevat un subset de nouă astfel de fișiere LNK, exploatând o eroare de confuzie de analiză cauzată de implementarea parțială de către Microsoft a specificației MS-SHLLINK (v8.0).

Confuzie în analiza sintactică: Specificație vs. Implementare

Specificația MS-SHLLINK permite lungimi de șir de caractere de până la 65.535 de caractere, dar Windows 11 limitează conținutul real la 259 de caractere, argumentele din linia de comandă fiind excepția. Această nepotrivire introduce inconsecvențe în modul în care fișierele LNK sunt interpretate pe diferite platforme.

Atacatorii exploatează această breșă prin crearea de fișiere LNK care par valide sau nevalide în funcție de parser, permițând:

  • Executarea comenzilor neașteptate sau ascunse
  • Evitarea detectării atât de către interfața cu utilizatorul Windows, cât și de către instrumentele de analiză terțe

Prin combinarea acestui aspect cu tehnici de umplere a spațiilor albe, adversarii ascund efectiv adevărata intenție a comenzii rapide, crescând șansele de execuție cu succes fără a alerta utilizatorii sau instrumentele de securitate.

Lanțul de infecții: Arhive ZIP, momeli și încărcare laterală DLL

Cele nouă fișiere LNK malițioase identificate au fost distribuite în arhive ZIP, fiecare conținând o altă arhivă ZIP care includea:

  • Un document PDF capcană
  • Un executabil legitim redenumit
  • O DLL malițioasă încărcată lateral de fișierul binar

Acest DLL, numit ETDownloader, servește ca o primă fișă utilă concepută pentru a descărca implantul principal - XDigo.

XDigo: Un hoț de date rafinat

XDigo este un implant de malware bazat pe Go, evaluat ca o evoluție a programului UsrRunVGA.exe, documentat anterior în octombrie 2023. Este echipat pentru:

  • Recoltează fișiere locale.
  • Capturați conținutul clipboardului.
  • Faceți capturi de ecran.
  • Execută comenzi sau fișiere binare preluate de pe un server la distanță prin HTTP GET.
  • Exfiltrați datele furate folosind cereri HTTP POST.

Această funcționalitate confirmă rolul XDigo ca un program de spionaj conceput pentru culegerea furtivă de informații.

Profilul țintei și consecvența tactică

Anchetatorii au confirmat cel puțin o țintă în regiunea Minsk, existând și alte semne care indică operațiuni împotriva grupurilor de retail rusești, a instituțiilor financiare, a companiilor de asigurări și a serviciilor poștale guvernamentale. Această victimologie se aliniază îndeaproape cu concentrarea istorică a XDSpy, în special asupra Europei de Est și Belarusului.

Tehnici de evitare și sofisticare tactică

XDSpy a demonstrat o capacitate puternică de a eluda apărările moderne. În special, malware-ul lor a fost primul care a încercat să evite o soluție specifică de tip sandbox, reflectând un grad ridicat de personalizare și adaptabilitate ca răspuns la peisajele de securitate în continuă evoluție.

Rezumat: Concluzii cheie

Campania XDigo prezintă o combinație sofisticată de tehnici și strategii de direcționare. Aceasta a implicat exploatarea unei vulnerabilități Windows identificate ca ZDI-CAN-25373 prin intermediul unor fișiere LNK special create, alături de manipularea inconsistențelor de analiză LNK pentru a masca activitatea rău intenționată. Atacatorii s-au bazat, de asemenea, pe încărcarea laterală a DLL-urilor folosind executabile legitime redenumite pentru a încărca componente necinstite. Comunicarea cu infrastructura de comandă și control și exfiltrarea datelor furate au fost efectuate prin protocoale HTTP standard, permițând ascunderea și evitarea atacurilor.

În ceea ce privește direcționarea, campania s-a concentrat în mare măsură pe entități guvernamentale, în special în Belarus și Rusia. De asemenea, și-a extins acoperirea la sectoarele financiar și de retail, precum și la marile companii de asigurări și serviciile poștale naționale. Această operațiune subliniază inovația persistentă a actorilor amenințători aliniați cu statul și întărește nevoia critică de a examina chiar și tipurile de fișiere aparent inofensive, cum ar fi fișierele LNK, pentru a depista amenințări ascunse.

Trending

Cele mai văzute

Se încarcă...