Skip to content

XWorm va AsyncRAT: PowerShell va Visual Basic orqali yashirin zararli dasturlar tarqatilmoqda

So‘nggi kiberxavfsizlik tadqiqotlari shuni ko‘rsatmoqdaki, zararli dasturlarni tarqatish usullari tobora murakkablashib bormoqda. Yaqinda aniqlangan yangi batch skript esa bunga yorqin misoldir.

Bu skript XWorm va AsyncRAT kabi kuchli zararli dasturlarni tarqatish uchun ishlatiladi hamda ilg‘or yashirinlik (obfuskatsiya) texnikalaridan foydalangan holda antivirus himoyalarini chetlab o‘tadi. VirusTotal tizimida ushbu kod ikki kun davomida aniqlanmay qolgani, ushbu tahdidning qanchalik jiddiy ekanini ko‘rsatadi.

VMRay tomonidan X (Twitter) tarmog‘ida e’lon qilingan tahlilga ko‘ra, bu zararli batch skript bir nechta bosqichdan iborat ko‘p bosqichli infeksiya zanjiri asosida ishlaydi:

  1. PowerShell yuklovchisi ishga tushiriladi
  2. AES-256 shifrlash orqali himoyalangan zararli yuk (payload) dekodlanadi va deshifrlanadi
  3. Dekodlangan zararli kod Telegram orqali boshqariladigan C2 (Command and Control) serverga ulanadi
  4. Jabrlanuvchining tizimi haqida ma’lumot yig‘iladi va Telegram orqali hujumchiga yuboriladi

Yig‘iladigan ma’lumotlarga quyidagilar kiradi:

  • Qurilma identifikatori (Device ID)
  • Uskuna identifikatori (Hardware ID – HWID)
  • Jabrlanuvchining IP manzili va mamlakati
  • Kompyuter nomi va foydalanuvchi nomi
  • Antivirus dasturlari haqida ma’lumot

Bundan tashqari, skript jabrlanuvchining ekranidan skrinshot olib, Telegram orqali jo‘natishi ham mumkin.

XWorm va AsyncRAT nima?

XWorm: kuchli va xavfli troyan

XWorm – bu Remote Access Trojan (RAT) bo‘lib, u foydalanuvchining shaxsiy ma’lumotlarini o‘g‘irlash va masofadan boshqarish imkonini beradi. Uning asosiy xususiyatlari:

  • Foydalanuvchi parollarini o‘g‘irlash
  • Ransomware dasturlarini yuklab ishlatish
  • DDoS hujumlarini amalga oshirish
  • Veb-kamerani kuzatish va klaviatura bosishlarini yozib olish
  • USB qurilmalar orqali tarqalish
  • Windows Defender va boshqa xavfsizlik tizimlarini chetlab o‘tish

XWorm o‘zini tizimda saqlab qolish uchun Windows reestrini o‘zgartiradi hamda AMSI (Antimalware Scan Interface) ni o‘chiradi, bu esa uni antivirus dasturlari tomonidan aniqlanishini qiyinlashtiradi.

AsyncRAT: yashirin josus

AsyncRAT ham XWorm kabi masofaviy boshqaruv troyani bo‘lib, u quyidagi imkoniyatlarga ega:

  • Jabrlanuvchi ekranini kuzatish va yozib olish
  • Klaviatura bosishlarini yozib olish (Keylogging)
  • Fayllarni yuklab olish va jo‘natish
  • Buyruqlarni masofadan bajarish
  • Antivirus tizimlarini o‘chirib qo‘yish

Ushbu zararli dastur Process Hollowing usulidan foydalanib, o‘zini qonuniy Windows jarayonlariga joylashish orqali aniqlanishdan qochadi.

Bu zararli batch skript UTF-16 kodlash, ortiqcha kod qo‘shish va boshqa yashirinlik usullaridan foydalanib, xavfsizlik tizimlari tomonidan aniqlanishni qiyinlashtiradi.

Bundan tashqari:

  • Hujumlar Telegram orqali amalga oshiriladi, bu esa hujumchilarni kuzatish va aniqlashni yanada murakkablashtiradi.
  • Sun’iy intellekt (ChatGPT yoki Claude) yordamida yaratilgan kod uslubiga o‘xshash bo‘lib, hujum manbalarini aniqlashni qiyinlashtiradi.
  • Kod ochiq manbali obfuskatorlardan foydalangan, bu esa uning tahlil qilinishini juda qiyinlashtiradi.

Quyidagi xavfsizlik choralariga rioya qilish orqali bunday hujumlardan saqlanish mumkin:

🔹 Xatti-harakatlarni kuzatuvchi antivirus dasturlaridan foydalaning – Masalan, PowerShell’ning ruxsatsiz ishlatilishi kabi shubhali harakatlarni aniqlash imkoniyati bo‘lgan xavfsizlik tizimlaridan foydalaning.

🔹 Shubhali IP manzillar va Telegram C2 serverlariga ulanayotgan jarayonlarni tekshirib boring – Agar sizning tarmoqda noma’lum IP-larga bog‘lanish qayd etilsa, bu kiberhujum ehtimolini bildirishi mumkin.

🔹 Xodimlarni phishing hujumlari haqida ogohlantiring – Ushbu zararli dastur odatda phishing (soxta) elektron xatlar orqali tarqaladi, shuning uchun xodimlarni shubhali havolalarni bosmaslik va noma’lum ilovalarni yuklab olmaslik haqida ogohlantirish muhim.

🔹 Antivirus dasturlarini muntazam yangilang – XWorm va AsyncRAT kabi yangi tahdidlarni aniqlash uchun antivirus dasturlaringiz doimiy ravishda yangilanib turishi kerak.

🔹 So‘nggi zararli dasturlar kampaniyalari haqida xabardor bo‘ling – Kiberxavfsizlik bo‘yicha muntazam ravishda yangiliklarni kuzatib boring va xavf-xatar indikatorlarini (Indicators of Compromise – IoC) o‘z xavfsizlik tizimingizga qo‘shing.

XWorm va AsyncRAT kabi zararli dasturlar tobora takomillashib bormoqda. Hozirgi hujumlarda batch skriptlar, PowerShell va Visual Basic kabi vositalardan foydalanish orqali ularning aniqlanish ehtimoli kamaytirilmoqda. Bu esa an’anaviy antivirus himoyalarining yetarli emasligini ko‘rsatmoqda.

Barcha IT xavfsizlik mutaxassislari va tizim administratorlari faollik bilan monitoring qilish, zamonaviy xavfsizlik yechimlaridan foydalanish va xodimlarni kiberxavfsizlik bo‘yicha o‘qitish orqali o‘z tarmoqlarini himoya qilishlari shart.

Ehtiyot bo‘ling va tizimingizni himoya qiling!