Dagitim Stratejisi: Bu XWorm ornegi, GTA V'in carpicul tarafindan kullanilan
FiveM platformu icin sahte bir "hack/cheat" araci kimligine burunmustir. Oyuncu topluluklarini
hedef alan klasik bir sosyal muhendislik saldiris.
Bu XWorm ornegi, GTA V oyuncularina sahte FiveM hile araci kisvesiyle sunulmaktadir.
33 MB'lik buyuk boyutu, anti-analiz aldatmacasi olarak kullanilmakta ve kurbani meşru
bir uygulama gibi yaniltmaktadir. Raw string analizinden avQYn.ME ve
eIL.ru domainleri C2 gostergeleri olarak tespit edilmistir. XWorm v5'in
AES sifrelenmis konfigurasyonu nedeniyle tam C2 detaylari statik analizle elde
edilememistir; sandbox analizi ile XHost ve XPort degerleri dogrulanabilir.
XWorm — Profil du malware
XWorm RAT .NET. Contract.exe is sozlesmesi. RecargarPanels Ispanyolca UI. panelActions plugin. Aggregate modül.
Type de malware
RAT
Langage de programmation
.NET C#
Protocole C2
TCP
Systèmes ciblés
Windows
Détails techniques
C# .NET, AES-128-CBC veya AES-256, TCP varsayilan port 7878, Anti-VM (GetSystemFirmwareTable), Anti-debug (FindWindow Olly/x64dbg), Webhook stealer, Clipper, HVNC, Remote Shell, Ransomware modulu
Serveurs C2
(8 serveurs enregistrés pour cette famille)
Adresse
Type
Port
Protocole
Statut
Pays
eIL.ru
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
exec.in
domain
—
TCP
active
—
github.com
domain
—
TCP
active
—
system.io
domain
—
TCP
inactive
—
system.io
domain
—
TCP
inactive
—
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.