Dagitim Stratejisi: Bu XWorm ornegi, GTA V'in carpicul tarafindan kullanilan
FiveM platformu icin sahte bir "hack/cheat" araci kimligine burunmustir. Oyuncu topluluklarini
hedef alan klasik bir sosyal muhendislik saldiris.
Bu XWorm ornegi, GTA V oyuncularina sahte FiveM hile araci kisvesiyle sunulmaktadir.
33 MB'lik buyuk boyutu, anti-analiz aldatmacasi olarak kullanilmakta ve kurbani meşru
bir uygulama gibi yaniltmaktadir. Raw string analizinden avQYn.ME ve
eIL.ru domainleri C2 gostergeleri olarak tespit edilmistir. XWorm v5'in
AES sifrelenmis konfigurasyonu nedeniyle tam C2 detaylari statik analizle elde
edilememistir; sandbox analizi ile XHost ve XPort degerleri dogrulanabilir.
XWorm — Perfil del malware
XWorm RAT .NET. Contract.exe is sozlesmesi. RecargarPanels Ispanyolca UI. panelActions plugin. Aggregate modül.
Tipo de malware
RAT
Lenguaje de programación
.NET C#
Protocolo C2
TCP
Sistemas objetivo
Windows
Detalles técnicos
C# .NET, AES-128-CBC veya AES-256, TCP varsayilan port 7878, Anti-VM (GetSystemFirmwareTable), Anti-debug (FindWindow Olly/x64dbg), Webhook stealer, Clipper, HVNC, Remote Shell, Ransomware modulu
Servidores C2
(8 servidores registrados para esta familia)
Dirección
Tipo
Puerto
Protocolo
Estado
País
eIL.ru
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
github.com
domain
—
TCP
active
—
system.io
domain
—
TCP
inactive
—
system.io
domain
—
TCP
inactive
—
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.