برنامج XWorm 6.0 الخبيث

تتبع باحثون أمنيون برمجية XWorm الخبيثة من إطار عمل مُدمج للوصول عن بُعد إلى منصة معيارية للغاية يستخدمها المُشغِّلون لتشغيل مجموعة واسعة من العمليات الخبيثة على أجهزة ويندوز المُخترقة. تم رصد XWorm لأول مرة عام ٢٠٢٢ وربطه بمجموعة تستخدم اسم EvilCoder، وقد طُوِّرَ وأُعيدَ تصميمه بنشاط من قِبل أفراد يستخدمون اسم XCoder (المطور الرئيسي حتى منتصف عام ٢٠٢٤)، ومؤخرًا، من قِبل بائعين مثل XCoderTools. يُظهر تطوره المُستمر وظهوره مُجددًا مدى سرعة تجزئة الأداة وإعادة تجميعها ودخولها السوق.

كيفية بناء XWorm — النواة + المكونات الإضافية

تتمحور بنية XWorm حول عميل صغير يتصل بخادم الأوامر والتحكم (C2) ومجموعة كبيرة من حمولات الإضافات التي تُحمّل في الذاكرة عند الطلب. يسمح هذا التصميم للمشغلين بإبقاء العميل خفيف الوزن على جهاز مضيف مع دفع الوظائف (DLLs) ديناميكيًا لأداء مهام محددة. كما تضمن نظام المشروع أدوات مساعدة روّج لها المطورون: أداة إنشاء برامج ضارة .NET، وبرنامج تحكم عن بُعد منفصل يُسمى XBinder، وأداة مساعدة تحاول تجاوز التحكم بحساب مستخدم Windows (UAC). روّج مجتمع المطورين حول XWorm لمكونات أخرى وبرامج تثبيت مزيفة (لا سيما برامج تثبيت ScreenConnect الضارة) كإغراءات للتوزيعات.

سلاسل العدوى وتقنيات التوصيل

لاحظ الباحثون مسارات عمل متعددة ومتغيرة لإصابة XWorm. اعتمدت السلاسل المبكرة على رسائل التصيد الاحتيالي التي تُرسل ملفات اختصار Windows (LNK)؛ حيث شغّلت ملفات LNK برنامج PowerShell، الذي أسقط ملفات وهمية (مثل ملف TXT غير ضار) وملفات تنفيذية خادعة (عادةً ما تكون متخفية على أنها Discord)، والتي أطلقت في النهاية الحمولة الحقيقية. استخدمت الحملات الأحدث التي توزع عائلة 6.x مرفقات JavaScript ضارة في رسائل التصيد الاحتيالي الإلكترونية التي تعرض ملف PDF وهميًا أثناء تشغيل PowerShell في الخلفية الذي يحقن XWorm في عمليات شرعية مثل RegSvcs.exe لتجنب الكشف. كما قام مُخرِجو التهديدات بنشر إصدارات مُخترقة أو مُصابة بأحصنة طروادة من مكونات XWorm عبر مستودعات GitHub، ومواقع مشاركة الملفات، وقنوات Telegram، وYouTube، في محاولة لخداع المُشغلين الأقل خبرة لتثبيت برامج إنشاء ذات أبواب خلفية.

التهرب والتحكم عن بعد وميزات المشغل

يدمج XWorm عدة عمليات فحص مضادة للتحليل تُلغي التنفيذ عند اكتشاف مؤشرات المحاكاة الافتراضية أو بيئة الحماية. بمجرد تفعيله، يقبل العميل أوامر من C2 تغطي عمليات RAT الشائعة (نقل الملفات، معالجة العمليات والخدمات، تنفيذ أوامر shell، فتح عناوين URL)، والتحكم في النظام (إيقاف التشغيل/إعادة التشغيل)، وإجراءات أكثر صرامة مثل بدء هجمات DDoS. يتيح نموذج المكونات الإضافية المعيارية للمشغل عن بُعد تشغيل أكثر من 35 حمولة DLL مختلفة في الذاكرة دون الحاجة إلى كتابتها على القرص، مما يمنح XWorm سطح هجوم مرنًا مع تقليل آثار التحليل الجنائي.

بروتوكول تسليم المكونات الإضافية

يُطبّق XWorm 6.x بروتوكول إضافة التجزئة أولاً: يُصدر C2 أمر "plugin" الذي يحتوي على تجزئة SHA-256 لملف DLL المطلوب بالإضافة إلى وسيطات وقت التشغيل. يتحقق العميل مما إذا كان هذا الإضافة مُخزّنة مؤقتًا لديه بالفعل؛ إذا لم يكن كذلك، يطلب الملف باستخدام "sendplugin". يردّ الخادم بأمر "savePlugin" الذي يحمل الإضافة ككائن كائني base64 وتجزئة SHA-256 الخاصة به. يفكّ العميل تشفير الكائن، ويتحقق من التجزئة، ويُحمّل ملف DLL مباشرةً في الذاكرة للتنفيذ.

المكونات الإضافية البارزة وما تفعله

• RemoteDesktop.dll — يقوم بتأسيس جلسة تفاعلية عن بعد.
• WindowsUpdate.dll، Stealer.dll، Recovery.dll، merged.dll، Chromium.dll، SystemCheck.Merged.dll — سرقة بيانات وبيانات الاعتماد من نظام التشغيل والتطبيقات (مفاتيح Windows، وكلمات مرور Wi-Fi، وبيانات الاعتماد المخزنة في المتصفح، بما في ذلك تجاوزات التشفير المرتبط بالتطبيق، والحصادات لـ FileZilla، وDiscord، وTelegram، وMetaMask).
• FileManager.dll — الوصول إلى نظام الملفات والتلاعب به.
• Shell.dll — تنفيذ مخفي لأوامر المشغل من خلال cmd.exe.
• Informations.dll — بصمة المضيف/النظام.
• Webcam.dll — يلتقط صور/فيديو كاميرا الويب لتأكيد الضحية الحقيقية.
• TCPConnections.dll، ActiveWindows.dll، StartupManager.dll — يقوم بإحصاء اتصالات الشبكة، والنوافذ النشطة، وإدخالات بدء التشغيل التلقائي.
• Ransomware.dll — إجراءات تشفير/فك تشفير الملفات (تشارك الكود مع برامج الفدية من نوع NoCry).
• Rootkit.dll — يقوم بتثبيت rootkit r77 المعدل.
• ResetSurvival.dll — يعدل سجل Windows للبقاء على قيد الحياة بعد إعادة تعيين بعض الأجهزة.

تشمل البرامج الضارة الأخرى التي يتم توزيعها عبر عدوى XWorm ما يلي:

• سارق السحابة المظلمة
• دودة (VBS RAT)
• مسجل مفاتيح الثعبان
• عمال مناجم العملات المعدنية
• البرامج الضارة الصرفة
• ShadowSniff (سارق الصدأ، مفتوح المصدر)
• سارق الشبح
• سارق الفيميدرون

النكسات التشغيلية والتجزئة والشوك المسلحة

لم يكن تطور XWorm خطيًا. ففي النصف الثاني من عام 2024، حذفت شخصية XCoder حسابها على Telegram فجأةً، مما أثار الشكوك حول مستقبل المشروع. ومع ذلك، أدت هذه الفجوة إلى ظهور أنشطة انتهازية: حزم XWorm v5.6 مخترقة، والتي تم استغلالها لإصابة جهات تهديد أخرى، وحملات هندسة اجتماعية تستهدف "مستخدمي البرامج النصية" عبر GitHub والقنوات العامة الأخرى - وهي حملات يقدر الباحثون أنها حاولت اختراق عشرات الآلاف من الأجهزة (أكثر من 18,000 جهاز).

اكتشف المحللون أيضًا شوكًا معدلة، بما في ذلك متغير يُسمى XSPY (الأصل المُبلغ عنه: متغير باللغة الصينية) ونقطة ضعف حرجة في تنفيذ التعليمات البرمجية عن بُعد (RCE) في بعض الإصدارات، مما سمح لشخص يمتلك مفتاح تشفير C2 بتنفيذ تعليمات برمجية عشوائية على أجهزة مضيفة مصابة. يُصعّب تجزئة مجموعة الأدوات عملية الإسناد والإزالة؛ إذ يمكن أن تظهر وتختفي بائعات وشوك مختلفة بشكل مستقل.

إعادة الظهور في عام 2025: XWorm 6.0 ونشاط السوق

في 4 يونيو 2025، نشر بائع يُطلق على نفسه اسم XCoderTools إصدار XWorm 6.0 على منتديات الجرائم الإلكترونية بسعر 500 دولار أمريكي للوصول مدى الحياة، مدعيًا أن الإصدار مُعاد ترميزه بالكامل وأن خلل RCE المُبلغ عنه سابقًا قد أُصلح. ليس من الواضح ما إذا كان هذا الإصدار صادرًا عن المطور الأصلي أم عن جهة خارجية تستفيد من علامة XWorm التجارية. عينات XWorm 6.0 المُلاحظة مُهيأة للاتصال بمركز التحكم (C2) على الرقم 94.159.113[.]64 على المنفذ 4411 وتطبيق بروتوكول المكونات الإضافية الموصوف أعلاه، مما يُتيح تسليمًا سريعًا لعشرات وحدات DLL في الذاكرة.

خلاصة القول

دورة حياة XWorm - من التطوير النشط مرورًا بالتخلي عنه وصولًا إلى ظهوره مجددًا مع بائعين جدد وإصدارات مُخترقة مُصابة بأحصنة طروادة - تُذكرنا بأن البرمجيات الخبيثة تُشكل منظومة متكاملة. حتى في حال اختفاء مُطور أصلي، يُمكن للآخرين نسخ شفرته البرمجية وتسليحها وإعادة نشرها. لذلك، يجب على الجهات المُدافعة التركيز على ضوابط واستراتيجيات كشف مرنة تفترض أن المُهاجمين سيعيدون استخدام مجموعات الأدوات الحالية وإعادة تجميعها.