{"id":4755,"date":"2023-05-02T17:15:22","date_gmt":"2023-05-02T15:15:22","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4755"},"modified":"2023-05-02T17:53:59","modified_gmt":"2023-05-02T15:53:59","slug":"xworm-rat-se-siri-preko-elektronske-poste","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/05\/02\/xworm-rat-se-siri-preko-elektronske-poste\/","title":{"rendered":"XWorm RAT se \u0161iri preko elektronske po\u0161te"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Remote Access Trojan XWorm RAT<\/em> se \u0161iri preko elektronske po\u0161te i sposoban je za <em>ransomware<\/em> infekciju, kra\u0111u korisni\u010dkih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podataka<\/a> i pokretanje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/25\/ddos\/\" target=\"_blank\" rel=\"nofollow noopener\">napada uskra\u0107ivanjem resursa<\/a> (eng. <em>Distributed Denial of Service \u2013 DDoS<\/em>).<\/span><\/p>\n<div id=\"attachment_4758\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4758\" class=\"size-full wp-image-4758\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/XWorm-RAT.jpg\" alt=\"XWorm RAT\" width=\"1024\" height=\"658\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/XWorm-RAT.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/XWorm-RAT-300x193.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/XWorm-RAT-768x494.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/XWorm-RAT-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4758\" class=\"wp-caption-text\"><em>XWorm RAT se \u0161iri preko elektronske po\u0161te; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong><em>XWorm RAT<\/em><\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Po\u010detkom aprila, <a href=\"https:\/\/www.avira.com\/en\/blog\/the-claws-of-evilcode-gauntlet-xworm-rat\" target=\"_blank\" rel=\"noopener\">sigurnosni istra\u017eiva\u010di su primijetili<\/a> porast \u0161irenja <em>XWorm<\/em> <em>RAT<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> u kiberneti\u010dkom prostoru. Ovaj zlonamjerni softver je dizajniran da infiltrira ure\u0111aje i omogu\u0107i zlonamjernim napada\u010dima neovla\u0161teni pristup ure\u0111aju korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom instaliran, <em>XWorm<\/em> <em>RAT<\/em> omogu\u0107ava napada\u010dima da pokrenu <em>ransomvare<\/em> i izvr\u0161e kra\u0111u osjetljivih podatka, kao \u0161to su korisni\u010dki podaci za prijavu, finansijske informacije ili li\u010dni dokumenti. Pored toga, ovaj zlonamjerni softver se mo\u017ee koristiti za instaliranje drugih vrsta zlonamjernog softvera ili \u010dak za pokretanje napada na druge ure\u0111aje unutar mre\u017ee u kojoj se nalazi inficirani korisnik.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong><em>XWorm RAT <\/em>prodaja<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su primijetili da se <em>XWorm<\/em> <em>RAT<\/em> prodaje Mra\u010dnom Internetu, gdje ga prodavac pod nazivom \u201c<em>EvilCoder<\/em>\u201d nudi u razli\u010ditim verzija sa razli\u010ditim mogu\u0107nostima u zavisnosti od cijene koju su potencijalni kupci spremni da plate. Neke od mogu\u0107nosti koje <em>XWorm<\/em> <em>RAT <\/em>posjeduje su:<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">Pra\u0107enja korisni\u010dke aktivnost unosa podataka<\/a> (eng. <em>Keylogger<\/em>);<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zaobila\u017eenje kontrole korisni\u010dkog naloga (eng. <em>User Account Control \u2013 UAC<\/em>);<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrnuti <em>Proxy;<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Skriveni <em>RDP<\/em> i <em>VNC<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Komandno okru\u017eenje;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Me\u0111uspremnik i menad\u017eer datoteka;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Web kamera i mikrofon;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Napada uskra\u0107ivanjem resursa \u2013 <em>DDoS<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Ransomware<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Isklju\u010divanje, ponovno pokretanje i odjava;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pode\u0161avanje praznog ekrana;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Povratak lozinki;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Mijenjanje baze registra.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Dodatni problem je \u0161to je dostupna i krekovana verzija <em>XWorm<\/em> <em>RAT<\/em> zlonamjernog softvera neograni\u010deno u kiberneti\u010dkom prostoru. To zna\u010di da treba o\u010detkati razne modifikovane verzije uz zavisnosti od potreba zlonamjernih napada\u010di i cilja njihovog napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong>Infekcija korisnika<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Napad na korisnike obi\u010dno zapo\u010dinje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\">ciljanim pecanjem<\/a> preko elektronske po\u0161te u kojem se korisniku \u0161alje posebno pripremljen dokument u prilogu. U dokumentu se nalazi zlonamjerna veza kao \u0161ablon koja se izvr\u0161ava kada korisnik otvori dokument. Ova tehnika je poznata kako ubrizgavanje \u0161ablona (eng. <em>template injection<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Preko veze u dokumentu dolazi do povezivanja sa serverom gdje se nalazi zlonamjerna datoteka sa <em>Java<\/em> skriptom u kojoj se nalazi zamagljen k\u00f4d koji vr\u0161i preusmjeravanje na drugu Internet lokaciju. Na novoj lokaciji nalazi se veoma napredno \u0161ifrovana <em>PowerShell<\/em> datoteka koja je drugi dio <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnog tereta virusa<\/a> koji ima sljede\u0107e mogu\u0107nosti:<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Zaobila\u017eenje <em>Antimalware Scan Interface \u2013 AMSI<\/em> za analizu\u00a0 skripti;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ga\u0161enje <em>Windows defender<\/em>-a;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pravljenje izuze\u0107a za procese, direktorije i ekstenzije;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ga\u0161enje sistema za spre\u010davanje upada u ra\u010dunarski sistem;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ga\u0161enje monitoringa u realnom vremenu;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Onemogu\u0107avanje skeniranja skripti i detekcije potencijalno ne\u017eeljenih programa;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Onemogu\u0107avanje kontrole korisni\u010dkog naloga pode\u0161avanjem vrijednosti registra na 0;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ga\u0161enje <em>Windows<\/em> <em>Defender<\/em>\u00a0 servisa.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Onemogu\u0107avanje pokretanja\u00a0 <em>Windows<\/em> <em>Defender<\/em> antivirusnog softvera za jedno sa operativnim sistemom;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Dodavanje novog korisnika na ure\u0111aj sa korisni\u010dkim imenom \u201c<em>123<\/em>\u201d;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izmjene pode\u0161avanja mre\u017ene barijere (eng. <em>Firewall<\/em>).<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Pored svega toga, podaci kao to su korisni\u010dko ime, naziv ure\u0111aja, verzija operativnog sistema, verzija zlonamjernog softvera, administratorske privilegije, podaci o <em>web<\/em> kameri, snimci ekrana i podaci o instaliranom antivirusnom softveru se \u0161alju napada\u010du.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Kako bi se za\u0161tititi od ovog zlonamjernog softvera, korisnici bi trebalo da vode ra\u010duna o sljede\u0107im stvarima:<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Korisnici bi uvijek trebalo da provjere adresu po\u0161iljaoca elektronske po\u0161te prije nego \u0161to odgovore na nju.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je obratiti pa\u017enju na gramati\u010dke gre\u0161ke i stil pisanja u primljenoj elektronskoj po\u0161ti, \u010dak i ako dolazi od poznatih po\u0161iljalaca.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti veoma oprezan sa prilozima elektronske po\u0161te. Ako prilog elektronske po\u0161te nije o\u010dekivan i korisnik nije siguran da je za njega \u2013 ne otvarati ga.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici ne bi smjeli kliknuti na povezice na Internetu u elektronskoj po\u0161ti ako je elektronska po\u0161ta od nepoznatih po\u0161iljalaca.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici bi trebalo da koriste jake lozinke i provjeru identiteta u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti pouzdana i provjerena <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusna rje\u0161enja<\/a>.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Aplikacije i operativni sistem na ure\u0111aju bi uvijek trebalo da su a\u017eurirani.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Zaklju\u010dak<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Ovo je situacija koja pokazuje da zlonamjerni programer sa minimumom ili nikakvom odgovorno\u0161\u0107u mo\u017ee razviti zlonamjerni softver i prodavati ga da bi stekao nov\u010danu dobit. A onda se stvari otmu kontroli i originalni k\u00f4d procuri i postane dostupan svim zainteresovanim zlonamjernim akterima da ga modifikuju prema svojim potrebama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>XWorm<\/em> <em>RAT<\/em> koristi neke od veoma efikasnih tehnika za dostavljanje kona\u010dnog aktivnog dijela zlonamjernog softvera. Razli\u010diti slojevi zlonamjernog softvera imaju visok napredni, od prikrivanja do onemogu\u0107avanja bezbjednosnih alata kako bi se izbjeglo otkrivanje. Kako su nove verzije zlonamjernog softvera dostupne na Mra\u010dnom Internetu za prodaju, to zna\u010di da se on jo\u0161 uvijek aktivno razvija. Zlonamjerni softver je bogat funkcijama za privla\u010denje zlonamjernih aktera i sposoban je da isporu\u010di alate koji su pristupa\u010dni, upotrebljivi i ne izazivaju detekciju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Takvi alati zlonamjernim akterima daju visok nivo pristupa zara\u017eenim sistemima i mogu\u0107nost da obavljaju razli\u010dite operacije prema njihovim potrebama. Krekovana verzija ovaj zlonamjerni softver \u010dini jo\u0161 opasnijim zbog visokog nivoa dostupnosti svima, \u010dak i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/07\/16\/hakeri-djeca-na-skripti-epizoda-8\/\" target=\"_blank\" rel=\"nofollow noopener\">djeci na skriptama<\/a>.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Remote Access Trojan XWorm RAT se \u0161iri preko elektronske po\u0161te i sposoban je za ransomware infekciju, kra\u0111u korisni\u010dkih podataka i pokretanje napada uskra\u0107ivanjem resursa (eng. Distributed Denial of Service \u2013 DDoS). XWorm RAT Po\u010detkom&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4758,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[114,136,133,147,83,270],"class_list":["post-4755","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-ddos","tag-mfa","tag-ransomware","tag-rdp","tag-spear-phishing","tag-windows-defender"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4755"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4755\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4758"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}