Ameaça da ferramenta de malware XDDown Downloader | Aviso da Intel

O CloudSEK Threat Intelligence Advisory no XDDown Downloader, ferramenta de malware do grupo hacker XDSpy, utiliza táticas de spear-phishing para se propagar.
Updated on
April 17, 2026
Published on
November 4, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Tipo
Ferramenta de malware
Método de implantação
Spear-phishingO XDDown Downloader é uma ferramenta de malware que faz parte do arsenal do XDSpy. O XDSpy é um grupo de hackers que está ativo desde 2011. As operações do grupo foram detectadas em outubro de 2020, visando a região da Europa Oriental e dos Balcãs. O grupo usa táticas de spear-phishing para propagar o malware. O conteúdo do e-mail é atualizado com frequência para se adaptar e aproveitar os eventos atuais, como a pandemia. O grupo de ameaças anexa arquivos ZIP e RAR para transportar o arquivo malicioso LNK ou PowerPoint. Em alguns casos, os e-mails vêm sem nenhum arquivo anexado e incluem apenas um link direto para download. Depois que o usuário clica no link ou baixa o arquivo malicioso, ele inicia um script corrompido para colocar o XDDown na máquina comprometida em um local em %APPDATA%\ WinInit\ WINlogon.exe. Além disso, a persistência é obtida explorando uma tecla Executar por comando do registro do Windows. Os principais recursos dos módulos xDDown incluem:
  • XDrecon escaneia o host, reúne especificações técnicas e detalhes do sistema operacional e informa o servidor de comando e controle (C2) xDdown/xDSpy.
  • Lista XD procura arquivos com extensões de arquivo específicas (arquivos relacionados ao Office, PDFs e catálogos de endereços) na máquina infectada.
  • Monitor XD monitora e identifica quais dispositivos foram conectados ao host infectado.
  • XD Upload carrega arquivos que não são identificados pelo xDList para o servidor xDxPy.
  • XDloc reúne informações sobre redes Wi-Fi próximas para rastrear os movimentos dos usuários, usando mapas de redes Wi-Fi públicas.
  • XDPass extrai senhas de navegadores instalados localmente.
[/vc_wp_text] [vc_wp_text]

Impacto

  1. Danos à reputação à medida que as pessoas perdem a confiança na marca.
  2. Interrupção dos negócios em termos de receita.
  3. Divulgação de PII e documentos confidenciais.
[/vc_wp_text] [vc_wp_text]

Mitigação

  1. Sessões de treinamento para funcionários que criam conscientização sobre cenários de phishing.
  2. Implante um filtro de spam.
  3. Implemente os patches e atualizações de segurança mais recentes para sistemas.
  4. Use um software antivírus.
  5. Use filtros da web para bloquear sites maliciosos.
  6. Criptografe todas as informações confidenciais da empresa.
[/vc_wp_text] [vc_wp_text]

Indicadores de compromisso

SHA1
  • 63B988D0869C6A099C7A57AAFEA612A90E30C10F
  • BB7A10F816D6FFFECB297D0BAE3BC2C0F2F2FFC6
  • AE34BEDBD39DA813E094E974A9E181A686D66069
  • B807756E9CD7D131BD42C2F681878C7855063FE2
Servidores C&C
  • 365downloading.com
  • boborux. com
  • chtcc.net
  • cracratutu. com
  • daftsync. com
  • documentsklad.com
  • baixar-365.com
  • downloads primary.com
  • dropsklad. com
  • easytosay.org
  • ferrariframework.com
  • file-download.org
  • download de arquivo.email
  • getthatupdate.com
  • jerseygameengine.com
  • maiwegwurst. com
  • migration-info.com
  • minisnowhair. com
  • nomatterwhat.info
  • officeupdtcentr.com
  • seatwowave. com
  • WildBoarContest.com
Infraestrutura de rede antiga
  • 62,213,213,170
  • 93,63,198,40
  • 95,215,60,53
  • forgeron.tk
  • jahre999.tk
  • omgtech.000space.com
  • podzim.tk
  • de favor876.tk
  • substitua rc.000space.com

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations