XWorm 6.0 ম্যালওয়্যার

নিরাপত্তা গবেষকরা XWorm কে একটি কম্প্যাক্ট রিমোট-অ্যাক্সেস ফ্রেমওয়ার্ক থেকে একটি অত্যন্ত মডুলার প্ল্যাটফর্মে আবিষ্কার করেছেন যা অপারেটররা ঝুঁকিপূর্ণ উইন্ডোজ হোস্টে বিস্তৃত পরিসরের ক্ষতিকারক ক্রিয়াকলাপ চালানোর জন্য ব্যবহার করে। প্রথমবারের মতো ২০২২ সালে চিহ্নিত করা হয়েছিল এবং EvilCoder হ্যান্ডেল ব্যবহার করে একটি গোষ্ঠীর সাথে সংযুক্ত করা হয়েছিল, XWorm সক্রিয়ভাবে XCoder (২০২৪ সালের মাঝামাঝি পর্যন্ত প্রধান বিকাশকারী) এবং সম্প্রতি XCoderTools এর মতো বিক্রেতাদের দ্বারা তৈরি এবং পুনর্নির্মাণ করা হয়েছে। এর ক্রমাগত বিবর্তন এবং পুনরাবির্ভাব দেখায় যে একটি টুল কত দ্রুত খণ্ডিত হতে পারে, পুনরায় প্যাকেজ করা যেতে পারে এবং পুনরায় প্রবেশ করতে পারে।

XWorm কীভাবে তৈরি করা হয় — কোর + প্লাগইন

XWorm-এর আর্কিটেকচার একটি ছোট ক্লায়েন্টের উপর কেন্দ্রীভূত যা একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার এবং চাহিদা অনুযায়ী মেমোরিতে লোড করা প্লাগ-ইন পেলোডের একটি বৃহৎ সেটের সাথে যোগাযোগ করে। এই নকশাটি অপারেটরদের নির্দিষ্ট কাজ সম্পাদনের জন্য গতিশীলভাবে কার্যকারিতা (DLL) চাপ দেওয়ার সময় হালকা ক্লায়েন্টকে একটি হোস্টে রাখতে দেয়। প্রকল্পের ইকোসিস্টেমে ডেভেলপারদের দ্বারা প্রচারিত আনুষঙ্গিক সরঞ্জামগুলিও অন্তর্ভুক্ত করা হয়েছে: একটি .NET ম্যালওয়্যার নির্মাতা, XBinder নামে একটি পৃথক RAT, এবং একটি ইউটিলিটি যা উইন্ডোজ ব্যবহারকারী অ্যাকাউন্ট নিয়ন্ত্রণ (UAC) বাইপাস করার চেষ্টা করে। XWorm-এর আশেপাশের ডেভেলপার সম্প্রদায় বিতরণের প্রলোভন হিসাবে অন্যান্য উপাদান এবং জাল ইনস্টলার (বিশেষ করে দূষিত ScreenConnect ইনস্টলার) বিজ্ঞাপন দিয়েছে।

সংক্রমণ শৃঙ্খল এবং ডেলিভারি কৌশল

গবেষকরা XWorm-এর জন্য একাধিক, পরিবর্তনশীল সংক্রমণ কর্মপ্রবাহ লক্ষ্য করেছেন। প্রাথমিক চেইনগুলি Windows শর্টকাট (LNK) ফাইল সরবরাহকারী ফিশিং বার্তাগুলির উপর নির্ভর করত; LNKগুলি PowerShell কার্যকর করত, যা ডিকয় ফাইলগুলি (উদাহরণস্বরূপ, একটি ক্ষতিকারক TXT) ফেলে দেয় এবং একটি প্রতারণামূলক এক্সিকিউটেবল (সাধারণত ডিসকর্ডের ছদ্মবেশে) যা শেষ পর্যন্ত আসল পেলোড চালু করে। 6.x পরিবার বিতরণকারী সাম্প্রতিক প্রচারাভিযানগুলি ফিশিং ইমেলগুলিতে ক্ষতিকারক জাভাস্ক্রিপ্ট সংযুক্তি ব্যবহার করেছে যা ব্যাকগ্রাউন্ড পাওয়ারশেল কার্যকর করার সময় একটি ডিকয় PDF প্রদর্শন করে যা সনাক্তকরণ এড়াতে RegSvcs.exe-এর মতো বৈধ প্রক্রিয়াগুলিতে XWorm ইনজেক্ট করে। হুমকিদাতারা GitHub রেপো, ফাইল-শেয়ারিং সাইট, টেলিগ্রাম চ্যানেল এবং YouTube-এর মাধ্যমে XWorm উপাদানগুলির ক্র্যাকড বা ট্রোজানাইজড সংস্করণগুলিকেও ঠকিয়ে কম দক্ষ অপারেটরদের ব্যাকডোরড বিল্ডার ইনস্টল করার চেষ্টা করছে।

ফাঁকি, রিমোট কন্ট্রোল এবং অপারেটর বৈশিষ্ট্য

XWorm একাধিক অ্যান্টি-অ্যানালাইসিস চেক একীভূত করে যা ভার্চুয়ালাইজেশন বা স্যান্ডবক্স সূচক সনাক্ত করলে কার্যকরকরণ বন্ধ করে দেয়। একবার সক্রিয় হয়ে গেলে, ক্লায়েন্ট C2 থেকে কমান্ড গ্রহণ করে যা সাধারণ RAT ক্রিয়াকলাপ (ফাইল ট্রান্সফার, প্রক্রিয়া এবং পরিষেবা ম্যানিপুলেশন, শেল কমান্ড কার্যকর করা, URL খোলা), সিস্টেম নিয়ন্ত্রণ (শাটডাউন/পুনঃসূচনা) এবং DDoS কার্যকলাপ চালু করার মতো আরও আক্রমণাত্মক ক্রিয়াগুলিকে অন্তর্ভুক্ত করে। মডুলার প্লাগইন মডেলটি একটি রিমোট অপারেটরকে ডিস্কে না লিখে মেমরিতে 35 টিরও বেশি বিভিন্ন DLL পেলোড চালাতে দেয়, যা XWorm কে একটি নমনীয় আক্রমণ পৃষ্ঠ দেয় এবং ফরেনসিক ট্রেস হ্রাস করে।

প্লাগইন ডেলিভারি প্রোটোকল

XWorm 6.x একটি হ্যাশ-ফার্স্ট প্লাগইন প্রোটোকল প্রয়োগ করে: C2 একটি 'প্লাগইন' কমান্ড জারি করে যাতে অনুরোধকৃত DLL এবং রানটাইম আর্গুমেন্টের SHA-256 হ্যাশ থাকে। ক্লায়েন্ট পরীক্ষা করে যে প্লাগইনটি ইতিমধ্যেই ক্যাশে করা আছে কিনা; যদি না থাকে, তাহলে এটি 'sendplugin' সহ ফাইলটি অনুরোধ করে। সার্ভার একটি 'savePlugin' কমান্ড দিয়ে উত্তর দেয় যা প্লাগইনটিকে একটি base64 ব্লব এবং এর SHA-256 হ্যাশ হিসাবে বহন করে। ক্লায়েন্ট ব্লবটি ডিকোড করে, হ্যাশ যাচাই করে এবং কার্যকর করার জন্য সরাসরি মেমোরিতে DLL লোড করে।

উল্লেখযোগ্য প্লাগইন এবং তারা কী করে

• RemoteDesktop.dll — একটি ইন্টারেক্টিভ রিমোট সেশন স্থাপন করে।
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশন (উইন্ডোজ কী, ওয়াই-ফাই পাসওয়ার্ড, ব্রাউজার-সঞ্চিত শংসাপত্র, অ্যাপ-বাউন্ড এনক্রিপশনের জন্য বাইপাস এবং ফাইলজিলা, ডিসকর্ড, টেলিগ্রাম, মেটামাস্কের জন্য হারভেস্টার) থেকে শংসাপত্র এবং ডেটা চুরি।
• FileManager.dll — ফাইল সিস্টেম অ্যাক্সেস এবং ম্যানিপুলেশন।
• Shell.dll — cmd.exe এর মাধ্যমে অপারেটর কমান্ডের লুকানো সম্পাদন।
• Informations.dll — হোস্ট/সিস্টেম ফিঙ্গারপ্রিন্টিং।
• Webcam.dll — একজন প্রকৃত শিকারকে নিশ্চিত করার জন্য ওয়েবক্যাম ছবি/ভিডিও ধারণ করে।
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — নেটওয়ার্ক সংযোগ, সক্রিয় উইন্ডোজ এবং অটোস্টার্ট এন্ট্রিগুলির তালিকা তৈরি করে।
• Ransomware.dll — ফাইল এনক্রিপশন/ডিক্রিপশন রুটিন (NoCry-style ransomware এর সাথে কোড শেয়ার করে)।
• Rootkit.dll — একটি পরিবর্তিত r77 রুটকিট ইনস্টল করে।
• ResetSurvival.dll — নির্দিষ্ট ডিভাইস রিসেট থেকে বাঁচতে উইন্ডোজ রেজিস্ট্রি পরিবর্তন করে।

XWorm সংক্রমণের মাধ্যমে বিতরণ করা অন্যান্য ম্যালওয়্যারগুলির মধ্যে রয়েছে:

• ডার্কক্লাউড স্টিলার
• এইচওয়ার্ম (ভিবিএস র‍্যাট)
• স্নেক কীলগার
• মুদ্রা খনি শ্রমিকরা
• পিওর ম্যালওয়্যার
• শ্যাডোস্নিফ (মরিচা চুরিকারী, ওপেন-সোর্স)
• ফ্যান্টম স্টিলার
• ফেমেড্রোন স্টিলার

অপারেশনাল বিপত্তি, খণ্ডিতকরণ এবং অস্ত্রযুক্ত কাঁটাচামচ

XWorm-এর উন্নয়ন রৈখিক ছিল না। ২০২৪ সালের দ্বিতীয়ার্ধে, XCoder নামক ব্যক্তিত্ব হঠাৎ করে তাদের টেলিগ্রাম উপস্থিতি মুছে ফেলে, যা প্রকল্পের ভবিষ্যৎ নিয়ে সন্দেহ প্রকাশ করে। তবে, এই ব্যবধানটি সুবিধাবাদী কার্যকলাপের জন্ম দেয়: XWorm v5.6 প্যাকেজগুলিকে ক্র্যাক করা হয়েছিল যা অন্যান্য হুমকিদাতাদের সংক্রামিত করার জন্য ট্রোজানাইজ করা হয়েছিল, এবং GitHub এবং অন্যান্য পাবলিক চ্যানেলের মাধ্যমে 'স্ক্রিপ্ট কিডি'দের লক্ষ্য করে সোশ্যাল ইঞ্জিনিয়ারিং প্রচারণা - গবেষকরা অনুমান করেন যে প্রচারণাগুলি হাজার হাজার ডিভাইস (যার সংখ্যা ১৮,০০০ এরও বেশি) কে আপস করার চেষ্টা করেছিল।

বিশ্লেষকরা পরিবর্তিত ফর্কও খুঁজে পেয়েছেন, যার মধ্যে XSPY (রিপোর্ট করা উৎস: চীনা-ভাষার ভেরিয়েন্ট) লেবেলযুক্ত একটি ভেরিয়েন্ট এবং কিছু বিল্ডে একটি গুরুত্বপূর্ণ রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা রয়েছে যা C2 এনক্রিপশন কী ধারণকারী কাউকে সংক্রামিত হোস্টগুলিতে নির্বিচারে কোড কার্যকর করতে দেয়। টুলকিটের ফ্র্যাগমেন্টেশন অ্যাট্রিবিউশন এবং টেকডাউনকে আরও কঠিন করে তোলে; বিভিন্ন বিক্রেতা এবং ফর্ক স্বাধীনভাবে উপস্থিত হতে এবং অদৃশ্য হয়ে যেতে পারে।

২০২৫ সালের পুনরুত্থান: এক্সওয়ার্ম ৬.০ এবং মার্কেটপ্লেস কার্যকলাপ

৪ জুন, ২০২৫ তারিখে, XCoderTools নামে একটি বিক্রেতা সাইবার ক্রাইম ফোরামে XWorm 6.0 পোস্ট করে যার দাম ছিল $500 আজীবন অ্যাক্সেসের জন্য, দাবি করে যে রিলিজটি সম্পূর্ণরূপে পুনঃকোড করা হয়েছে এবং পূর্বে রিপোর্ট করা RCE ত্রুটিটি ঠিক করা হয়েছে। এটি স্পষ্ট নয় যে এই রিলিজটি মূল লেখকের কাছ থেকে এসেছে নাকি XWorm ব্র্যান্ড ব্যবহার করে তৃতীয় পক্ষের কাছ থেকে এসেছে। পর্যবেক্ষণ করা XWorm 6.0 নমুনাগুলি পোর্ট 4411-এ 94.159.113[.]64-এ C2-এর সাথে যোগাযোগ করার জন্য এবং উপরে বর্ণিত প্লাগইন প্রোটোকল বাস্তবায়নের জন্য কনফিগার করা হয়েছে, যা কয়েক ডজন DLL মডিউলের দ্রুত, মেমরিতে ডেলিভারি সক্ষম করে।

তলদেশের সরুরেখা

XWorm-এর জীবনচক্র — সক্রিয় বিকাশ থেকে শুরু করে পরিত্যক্তকরণ থেকে শুরু করে নতুন বিক্রেতা এবং ট্রোজানাইজড ক্র্যাকড বিল্ডের অধীনে পুনরায় আবির্ভূত হওয়া — এটি একটি স্মরণ করিয়ে দেয় যে ম্যালওয়্যার একটি বাস্তুতন্ত্র। এমনকি যদি একজন মূল লেখক অদৃশ্য হয়ে যায়, তবুও তাদের কোডটি অন্যদের দ্বারা ফর্ক করা, অস্ত্রযুক্ত করা এবং পুনরায় মোতায়েন করা যেতে পারে। অতএব, রক্ষাকারীদের অবশ্যই স্থিতিস্থাপক নিয়ন্ত্রণ এবং সনাক্তকরণ কৌশলগুলির উপর মনোনিবেশ করতে হবে যা ধরে নেয় যে প্রতিপক্ষরা বিদ্যমান টুলসেটগুলি পুনরায় ব্যবহার করবে এবং পুনরায় প্যাকেজ করবে।