XDDown
XDDown es el nombre que se le da a la principal herramienta de malware implementada en campañas amenazantes por XDSpy, un grupo de hackers que está clasificado como Amenaza persistente avanzada (ATP) y posiblemente patrocinado por el estado. Hasta ahora, los piratas informáticos han centrado sus actividades delictivas en la región de Europa del Este y los Balcanes. Se han detectado entidades afectadas en Bielorrusia, Rusia, Moldavia, Serbia y Ucrania.
El vector de ataque utilizado para la distribución de XDDown y, de hecho, el único método de ataque que se ha atribuido a XDSpy es el spear-phishing. El texto de los correos electrónicos se actualiza con regularidad y aprovecha eventos actuales como la pandemia COVID-19. Los apegos envenenados también han sufrido un cambio rápido. XDSpy ha utilizado archivos ZIP y RAR para llevar un archivo PowerPoint o LNK amenazante. En algunos casos, los correos electrónicos no tenían archivos adjuntos, pero contenían un enlace de descarga directa.
Si el usuario desprevenido ejecuta el archivo en el archivo, inicia un script dañado. Hasta ahora, se han observado dos scripts distintos, pero su objetivo final es el mismo: colocar XDDown en la máquina comprometida en una ubicación codificada en% APPDATA% \ WINinit \ WINlogon.exe.
XDDown es un descargador simple pero efectivo
XDDown puede ser la principal herramienta de malware en el arsenal de XDSpy , pero, por sí misma, la amenaza representa un descargador bastante básico. Su único propósito es ser responsable de la entrega de otros seis módulos de malware de XDSpy y no tiene ninguna otra funcionalidad. La persistencia se logra explotando una clave de ejecución del registro de Windows a través del comando HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . Se ha observado que dos versiones de XDDown están activas en la naturaleza: una de 32 bits y una de 64 bits.
Para entregar el resto de los módulos corruptos, XDDown establece una conexión con la infraestructura de Comando y Control realizando solicitudes GET regulares. Para la descarga de los seis módulos, se requieren tres solicitudes GET separadas. Los módulos no tienen persistencia y deben volver a descargarse cada vez que el usuario comprometido inicia sesión. Los nombres que les asignan los investigadores son XDRecon, XDList, XDMonitor, XDUpload, XDLoc y XDPass, y todos tienen la forma de archivos DLL de Windows.
Si bien la mayoría de los grupos de piratas informáticos APT modernos se interponen en el camino de marcos de malware más complejos que incluyen numerosos comandos de puerta trasera, XDSpy todavía depende de herramientas relativamente poco sofisticadas.
