Xeno RAT
A CYFIRMA vizsgálata a Xeno RAT elterjedésére összpontosít, egy bonyolultan megtervezett, fejlett funkciókkal ellátott, a GitHubon ingyenesen elérhető rosszindulatú szoftverre. A kutatás feltárja a fenyegető szereplők által a felderítés elkerülése érdekében alkalmazott kitérési taktikák sokaságát, miközben megvilágítja a rugalmas rosszindulatú malware hasznos terhelések kialakításában részt vevő eljárásokat is. A jelentés kiemeli e fenyegetések adaptív jellemzőit, hangsúlyozva a fokozott biztonsági protokollok és a felhasználói éberség szükségességét a kapcsolódó kockázatok hatékony csökkentése érdekében.
A jelentés tömör áttekintést nyújt a Xeno RAT-ról; egy C# nyelven írt, fejlett képességekkel büszkélkedő, hatékony kártevőről. A dokumentum célja, hogy a terjesztési, kitérési technikák és a rugalmas hasznos teher generálási folyamatok bemutatásával rávilágítson a kortárs kiberfenyegetések dinamikus természetére, hangsúlyozva a fokozott biztonsági intézkedések és a felhasználói tudatosság sürgős szükségességét az ilyen rosszindulatú entitások elleni védekezésben.
A Xeno RAT kifinomult funkciókkal és a fejlett malware-ek jellemzőivel rendelkezik.
A kártevő fejlesztője úgy döntött, hogy nyílt forráskódú projektként tartja fenn, és a GitHubon keresztül tette elérhetővé. Így az az alkalmazója testre szabta a beállításait, és a Discord CDN-en keresztül terjesztette. Az elsődleges vektor egy WhatsApp képernyőképnek álcázott parancsikonfájl formájában letöltőként működik. A letöltő letölti a zip-archívumot a Discord CDN-ről, kicsomagolja és végrehajtja a következő szakasz hasznos terhelését. Többlépcsős folyamatot kihasználjaalkalmaznak a kártevő végső hasznos terhelésének létrehozásához. A végső szakasz végrehajtása előtt keresi a hibakereső, felügyeleti és elemző eszközöket. A RAT a hibakeresés elleni technikákat, és lopakodó működési folyamatot követ. A malware ütemezett feladatként hozzáadja magát a perzisztencia érdekében. Kihasználja a Windows DLL keresési sorrend funkcióját, hogy a rosszindulatú DLL-t betöltse egy megbízható futtatható folyamatba.
Beilleszti a rosszindulatú kódot (process injection) a legális Windows-folyamatba. Kiterjedt elhomályosítási technikákat alkalmaz a fájlokban/kódban, hogy hatékonyan elkerülje a felderítést. Obfuszkációs hálózati forgalmat használ az utasítások és frissítések fogadására. Rendszeres időközönként kommunikál a C2-vel állapotfrissítésekkel és utasításokat kap.