Зловреден софтуер XWorm 6.0

Изследователи по сигурността са проследили XWorm от компактна рамка за отдалечен достъп до силно модулна платформа, която операторите използват за изпълнение на широк спектър от злонамерени операции на компрометирани хостове с Windows. За първи път маркиран през 2022 г. и свързан с група, използваща псевдонима EvilCoder, XWorm е активно разработван и преработван от лица, използващи персоните XCoder (водещ разработчик до средата на 2024 г.), а по-скоро и от продавачи като XCoderTools. Неговата непрекъсната еволюция и повторна поява показват колко бързо един инструмент може да бъде фрагментиран, преопакован и отново да се появи в дивата природа.

Как е изграден XWorm — ядро + плъгини

Архитектурата на XWorm се основава на малък клиент, който се свързва със сървър за командни и контролни системи (C2), и голям набор от плъгини, които се зареждат в паметта при поискване. Дизайнът позволява на операторите да поддържат лекия клиент на хост, като същевременно динамично добавят функционалност (DLL) за изпълнение на специфични задачи. Екосистемата на проекта включва и спомагателни инструменти, рекламирани от разработчиците: .NET конструктор на зловреден софтуер, отделен RAT, наречен XBinder, и помощна програма, която се опитва да заобиколи контрола на потребителските акаунти на Windows (UAC). Общността на разработчиците около XWorm рекламира други компоненти и фалшиви инсталатори (по-специално злонамерени инсталатори на ScreenConnect) като примамки за разпространение.

Вериги на инфекция и техники за доставка

Изследователите са наблюдавали множество, променящи се работни потоци за заразяване с XWorm. Ранните вериги са разчитали на фишинг съобщения, които са доставяли файлове с пряк път на Windows (LNK); LNK-овете са изпълнявали PowerShell, който е пускал файлове-примамки (например безобиден TXT) и подвеждащ изпълним файл (обикновено маскиран като Discord), който в крайна сметка е стартирал истинския полезен товар. По-скорошни кампании, разпространяващи семейството 6.x, са използвали злонамерени JavaScript прикачени файлове във фишинг имейли, които показват PDF файл-примамка, докато изпълняват PowerShell на заден план, който инжектира XWorm в легитимни процеси като RegSvcs.exe, за да избегнат откриване. Злонамерени лица също така са пускали кракнати или заразени с троянски вируси версии на компонентите на XWorm чрез хранилища на GitHub, сайтове за споделяне на файлове, Telegram канали и YouTube, опитвайки се да подведат по-малко квалифицирани оператори да инсталират бекдор конструктори.

Функции за избягване, дистанционно управление и оператор

XWorm интегрира множество анти-анализ проверки, които прекъсват изпълнението, когато открият индикатори за виртуализация или пясъчник. След като е активен, клиентът приема команди от C2, които обхващат често срещани RAT операции (прехвърляне на файлове, манипулиране на процеси и услуги, изпълнение на команди на shell, отваряне на URL адреси), системен контрол (изключване/рестартиране) и по-агресивни действия, като например стартиране на DDoS активност. Модулният модел на плъгини позволява на отдалечен оператор да изпълнява повече от 35 различни DLL полезни товари в паметта, без да ги записва на диск, което дава на XWorm гъвкава повърхност за атака, като същевременно намалява криминалистичните следи.

Протокол за доставяне на плъгини

XWorm 6.x имплементира протокол за плъгини „първо хеширане“: C2 издава команда „plugin“, която съдържа SHA-256 хеша на заявената DLL библиотека плюс аргументи по време на изпълнение. Клиентът проверява дали вече има кеширан този плъгин; ако не, той заявява файла с „sendplugin“. Сървърът отговаря с команда „savePlugin“, носеща плъгина като base64 blob и неговия SHA-256 хеш. Клиентът декодира блоба, проверява хеша и зарежда DLL библиотеката директно в паметта за изпълнение.

Забележителни плъгини и какво правят те

• RemoteDesktop.dll — установява интерактивна отдалечена сесия.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — кражба на идентификационни данни и данни от операционна система и приложения (ключове за Windows, пароли за Wi-Fi, съхранени в браузъра идентификационни данни, включително заобикаляне на криптиране, свързано с приложения, и инструменти за събиране на данни за FileZilla, Discord, Telegram, MetaMask).
• FileManager.dll — достъп до файловата система и манипулиране на нея.
• Shell.dll — скрито изпълнение на операторски команди чрез cmd.exe.
• Informations.dll — снемане на пръстови отпечатъци на хост/система.
• Webcam.dll — заснема изображения/видео от уеб камера, за да потвърди наличието на истинска жертва.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — изброява мрежови връзки, активни прозорци и записи за автоматично стартиране.
• Ransomware.dll — процедури за криптиране/декриптиране на файлове (споделя код с рансъмуер в стил NoCry).
• Rootkit.dll — инсталира модифициран руткит r77.
• ResetSurvival.dll — модифицира системния регистър на Windows, за да оцелее при определени нулирания на устройствата.

Други зловредни програми, разпространявани чрез XWorm инфекции, включват:

• Крадецът на Тъмния облак
• Hworm (VBS RAT)
• Змийски кейлогър
• Миньори на монети
• Чист зловреден софтуер
• ShadowSniff (крадец на ръжда, с отворен код)
• Фантомен крадец
• Крадец на фемедрон

• Ремкос РАТ

Оперативни неуспехи, фрагментация и оръжейни вилици

Развитието на XWorm не е линейно. През втората половина на 2024 г., личността XCoder внезапно изтри присъствието си в Telegram, хвърляйки съмнение върху бъдещето на проекта. Тази празнина обаче породи опортюнистична активност: кракнати пакети XWorm v5.6, които самите те бяха троянски, за да заразят други злонамерени лица, и кампании за социално инженерство, насочени към „script kiddies“ чрез GitHub и други публични канали – кампании, за които изследователите смятат, че са се опитали да компрометират десетки хиляди устройства (според съобщенията над 18 000).

Анализаторите откриха и модифицирани форкове, включително вариант с обозначение XSPY (докладван произход: вариант на китайски език) и критична слабост за дистанционно изпълнение на код (RCE) в някои компилации, която позволява на някой, притежаващ ключа за криптиране C2, да изпълнява произволен код на заразени хостове. Фрагментацията на инструментариума затруднява атрибуцията и премахването; различни продавачи и форкове могат да се появяват и изчезват независимо.

Прераждането през 2025 г.: XWorm 6.0 и активността на Marketplace

На 4 юни 2025 г. доставчик, наричащ себе си XCoderTools, публикува XWorm 6.0 във форуми за киберпрестъпления на цена от 500 долара за доживотен достъп, твърдейки, че изданието е напълно прекодирано и че съобщеният по-рано недостатък на RCE е отстранен. Не е ясно дали това издание е от оригиналния автор или от трета страна, използваща марката XWorm. Наблюдаваните проби на XWorm 6.0 са конфигурирани да се свързват с C2 на 94.159.113[.]64 на порт 4411 и да имплементират описания по-горе протокол за плъгини, което позволява бързо доставяне в паметта на десетки DLL модули.

Долен ред

Жизненият цикъл на XWorm – от активно разработване, през изоставяне, до повторна поява под ръководството на нови продавачи и троянски кракнати компилации – е напомняне, че зловредният софтуер е екосистема. Дори ако оригиналният автор изчезне, неговият код може да бъде разклонен, използван като оръжие и преразположен от други. Следователно защитниците трябва да се съсредоточат върху устойчиви контроли и стратегии за откриване, които предполагат, че нарушителите ще използват повторно и ще преопаковат съществуващи набори от инструменти.