Виявлено оновлену версію віддаленого трояна Hworm (njRAT), який використовує безфайлові методи для повного контролю над системою жертви через фішинг.

Як це працює?

-Початковий ввід через VBScript із DynamicWrapperX, який містить три base64-потоки: DCOM_DATA (PE-файл), LOADER_DATA (RunPE шелкод) і FILE_DATA (Hworm).
-Скрипт копіюється в %appdata%Microsoft, забезпечує персистентність через реєстр і виконується через 32-бітний wscript.exe.
-Hworm інжектується в msbuild.exe за допомогою RunPE, використовуючи C2-сервер (наприклад, chroms[.]linkpc.net).
-Обфускація ускладнює виявлення антивірусами.

Що загрожує? Викрадення даних, віддалене виконання команд і компрометація системи.

Як захиститися?

-Уникайте підозрілих листів і вкладень.
-Обмежте виконання VBScript і доступ до реєстру.
-Оновлюйте антивірусне ПЗ та слідкуйте за процесами.
-Перевіряйте підозрілі мережеві з’єднання.

Hworm продовжує еволюціонувати, використовуючи безфайлові атаки. Захищайте свої системи!