Троян Xeno для Windows стал доступен бесплатно на GitHub

@spbIT.ru

Xeno может работать в системах Windows 10 и Windows 11, пишет Anti-Malware.ru. «Троян написан полностью с нуля, что гарантирует уникальный подход к реализации удаленного доступа», – указано в описание Xeno. Специалисты компании, специализирующейся на кибербезопасности и разведке в интернете (Cyfirma) отметили, что Xeno попадет на устройства жертв через сеть доставки контента Discord. «Основной вектор – файлы-ярлыки, замаскированные под скриншоты WhatsApp и выполняющие функции загрузчика. С их помощью в систему помещается ZIP-архив, где он распаковывается и запускается (вторая ступень атаки)», – пишут исследователи. Вредоносная библиотека подключается с помощью сторонней загрузки, что помогает закрепиться в системе и уйти от детектирования антивирусными средствами.

«Трояны и вирусы – это ведь тоже программное обеспечение, и вполне естественно, что наработками в этой сфере люди начнут делиться со всеми желающими на платформах вроде github. С точки зрения специалистов служб ИБ угроза состоит в том, что в теории можно ожидать различные модификации уже известных вредоносов после публикации исходного кода. Однако, для защиты от таких угроз, кроме традиционных средств мониторинга, отлично подходят средства поведенческой аналитики вроде Ankey ASAP, учитывая, что сигнатуры для вновь собранного трояна в антивирусе может еще не быть», – сказал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Xeno может работать в системах Windows 10 и Windows 11, пишет Anti-Malware.ru. «Троян написан полностью с нуля, что гарантирует уникальный подход к реализации удаленного доступа», – указано в описание Xeno. Специалисты компании, специализирующейся на кибербезопасности и разведке в интернете (Cyfirma) отметили, что Xeno попадет на устройства жертв через сеть доставки контента Discord. «Основной вектор – файлы-ярлыки, замаскированные под скриншоты WhatsApp и выполняющие функции загрузчика. С их помощью в систему помещается ZIP-архив, где он распаковывается и запускается (вторая ступень атаки)», – пишут исследователи. Вредоносная библиотека подключается с помощью сторонней загрузки, что помогает закрепиться в системе и уйти от детектирования антивирусными средствами.

«Трояны и вирусы – это ведь тоже программное обеспечение, и вполне естественно, что наработками в этой сфере люди начнут делиться со всеми желающими на платформах вроде github. С точки зрения специалистов служб ИБ угроза состоит в том, что в теории можно ожидать различные модификации уже известных вредоносов после публикации исходного кода. Однако, для защиты от таких угроз, кроме традиционных средств мониторинга, отлично подходят средства поведенческой аналитики вроде Ankey ASAP, учитывая, что сигнатуры для вновь собранного трояна в антивирусе может еще не быть», – сказал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Анализ
×
Полунин Сергей