یک بدافزار جدید پیچیده که با زبان #C نوشته شده و قابلیت های متنوع و پیچیده ای دارد، شناسایی شده است. این بدافزار با نام Xeno RAT و قابلیت عدم شناسایی، تولید payload و اضافه کردن به مسیر حمله، به صورت منبع باز در GitHub قرار گرفته است.
به علاوه بدافزار مذکور از فرآیند تزریق، مبهم سازی، ضد اشکال زدایی، ارتباطات C2 و تکنیک های مختلف دیگری استفاده می کند که آن را پیچیده تر و غیرقابل شناسایی تر می کند. مسیر اصلی تهدید این بدافزار استفاده از فایل میانبر و دانلودرهای payload چندمرحله ای است.
سوءاستفاده Xeno RAT از Windows DLL Search
طبق داده های مختلف این بدافزار در ابتدا در قالب یک فایل میانبر lnk. با نام WhatsApp_2023-12-12_12-59-06-18264122612_DCIM.png.lnk ظاهر می شود. فایل مذکور به عنوان یک دانلود کننده عمل کرده و از windows command shell برای دانلود و اجرای payload از فایل فشرده قرار گرفته در آدرس Discord CDN، استفاده می کند.
مرحله اول اجرا
فایل LNK مذکور از استدلال های خط فرمان مبهم با دو آدرس URL کوتاه شده که دو فایل از سرور Discord CDN دانلود می کند، تشکیل شده است. یکی از این دو فایل غیر مخرب بوده در حالیکه که دیگری فایل فشرده payload است. این فایل فشرده شامل دو فایل اجرایی با پسوندهای EXE و DLL و یک فایل ناشناس با نام لایسنس است.
مرحله دوم اجرا
در این مرحله بقیه دستورات موجود در فایل LNK فایل ADExplorer.exe را بدون هیچ درخواستی راه اندازی می شود. این ADExplorer.exe از فایل samcli.dll استفاده میکند و با قرار دادن یک فایل DLL مخرب با همان نام در دایرکتوری کاری فعلی، از عملکرد ترتیب جستجوی DLL سیستم عامل ویندوز سوء استفاده میکند. در حالی که این کار انجام می شود، samcli.dll در فرآیند ADExplorer.exe بارگیری می شود. این فرآیند ADExplorer.exe یک فرآیند معلق به نام “hh.exe” ایجاد می کند و فرآیند تزریق را انجام می دهد. علاوه بر این، ADExplorer.exe همچنین دو فایل میانبر در دایرکتوری کاری فعلی به نامهای «Guide.lnk» و «Support.url» ایجاد میکند.
فایل URL به فایل Guide.lnk اشاره می کند که عملکردی مشابه اولین فایل LNK دانلود شده، دارد.
مرحله سوم و پایانی
در مرحله سوم، فرآیند hh.exe یک فرآیند معلق دیگر به نام “colorcpl.exe” ایجاد می کند و فرآیند دیگری را تزریق می کند. این colorcpl.exe توسط hh.exe خاتمه می یابد و سپس تحت فرآیند “explorer.exe” از سرگرفته می شود. در مرحله نهایی، colorcpl.exe بررسی می کند که آیا نصبی از Xeno RAT روی دستگاه قربانی وجود دارد یا خیر. اگر بدافزار در جایی یافت نشود، فرآیند شروع به برقراری ارتباط با یک دامنه C2 می کند، ارتباط بین C2 مبهم است.
بدافزار Xeno RAT قادر به چندین عملکرد مانند نظارت، دور زدن تجزیه و تحلیل، VNC مخفی، اتصال پروکسی SOCKS5 با سرور C2، تداوم کار با Scheduled Tasks، تزریق فرآیند، مبهم سازی ترافیک شبکه، اجرای دستور از C2، به روز رسانی وضعیت و … است.
