Раскрыт новый инструмент группы XDSpy, получивший название XDSpy.CHMDownloader

Демонстрация файла-приманки, являющегося JPG-изображением (пример: umUArAREhh.jpg).

Создание Batch-файла в каталоге %Windows%\Tasks (пример: "C:\Windows\Tasks\peKbAEesxt.cmd").

Запуск созданного Batch-файла, которому передается 4 аргумента:   - сетевой адрес, с которого загружается полезная нагрузка (на момент исследования файл полезной нагрузки был недоступен) (пример: "hxxps://sbordokumentov[.]com/snirboubd/?n=0fa7HF8H1g7nUYF");   - путь, куда сохраняется загруженная полезная нагрузка (пример: "C:\ProgramData\Microsoft\DeviceSync\uvxkhvso");   - строка "User-Agent" и ее значение заголовка User-Agent (пример: "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.0.3705;)").

Проверка существования загруженной полезной нагрузки в скомпрометированной системе. Если файла полезной нагрузки нет, происходит выполнение действия в п.5. В случае, если файл полезной нагрузки существует, выполняются следующие действия:   - копирование файла полезной нагрузки из каталога %ProgramData%\Microsoft\DeviceSync в каталог %ProgramData%\USOShared\Logs, к имени файла полезной нагрузки добавлено расширение .exe (пример: WfCvDJZkGO.CopyFile("C:\ProgramData\Microsoft\DeviceSync\uvxkhvso", "C:\ProgramData\USOShared\Logs\uvxkhvso.exe", true));   - проверка наличия файла полезной нагрузки с расширением .exe в каталоге %ProgramData%\USOShared\Logs. Если данный файл существует, происходит создание LNK-файла (ярлыка) в каталоге автозагрузки, который отвечает за запуск %ProgramData%\USOShared\Logs[payload_name].exe;   - запуск загруженного файла полезной нагрузки с помощью утилиты forfiles.exe (пример: C:\Windows\System32\forfiles.exe /P C:\Windows\System32 /M write.exe /C "C:\ProgramData\Microsoft\DeviceSync\uvxkhvso");

Удаление Batch-файла, если он существует.