Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós XWorm 6.0

Programari maliciós XWorm 6.0

El Mezo el Programari maliciós, Cucs
Traduir a:

Investigadors de seguretat han rastrejat XWorm des d'un marc de treball compacte d'accés remot fins a una plataforma altament modular que els operadors utilitzen per executar una àmplia gamma d'operacions malicioses en amfitrions Windows compromesos. Denunciat per primera vegada el 2022 i vinculat a un grup mitjançant el nom d'usuari EvilCoder, XWorm ha estat desenvolupat i reelaborat activament per individus que utilitzen els personatges XCoder (desenvolupador principal fins a mitjans de 2024) i, més recentment, venedors com ara XCoderTools. La seva evolució i reaparició contínues demostren la rapidesa amb què una eina es pot fragmentar, reempaquetar i tornar a entrar a la natura.

Com es construeix XWorm: nucli + complements

L'arquitectura de XWorm se centra en un client petit que arriba a un servidor de comandament i control (C2) i un gran conjunt de càrregues útils de complements que es carreguen a la memòria sota demanda. El disseny permet als operadors mantenir el client lleuger en un host mentre impulsen dinàmicament la funcionalitat (DLL) per realitzar tasques específiques. L'ecosistema del projecte també ha inclòs eines auxiliars promogudes pels desenvolupadors: un creador de programari maliciós .NET, un RAT separat anomenat XBinder i una utilitat que intenta eludir el Control de comptes d'usuari de Windows (UAC). La comunitat de desenvolupadors al voltant de XWorm ha anunciat altres components i instal·ladors falsos (en particular, instal·ladors maliciosos de ScreenConnect) com a esquers de distribució.

Cadenes d’infecció i tècniques de lliurament

Els investigadors han observat múltiples fluxos de treball d'infecció canviants per a XWorm. Les primeres cadenes es basaven en missatges de phishing que lliuraven fitxers de dreceres de Windows (LNK); els LNK executaven PowerShell, que deixava anar fitxers esquer (per exemple, un TXT inofensiu) i un executable enganyós (normalment disfressat de Discord) que finalment llançava la càrrega útil real. Campanyes més recents que distribueixen la família 6.x han utilitzat fitxers adjunts maliciosos de JavaScript en correus electrònics de phishing que mostren un PDF esquer mentre executen PowerShell en segon pla que injecta XWorm en processos legítims com ara RegSvcs.exe per evitar la detecció. Els actors amenaçadors també han introduït versions piratejades o troianitzades de components de XWorm a través de repositoris de GitHub, llocs web per compartir fitxers, canals de Telegram i YouTube, intentant enganyar operadors menys qualificats perquè instal·lin constructors amb portes enrere.

Funcions d’evasió, control remot i operador

XWorm integra múltiples comprovacions antianàlisi que interrompen l'execució quan detecta indicadors de virtualització o de sandbox. Un cop actiu, el client accepta ordres del C2 que cobreixen operacions RAT comunes (transferència de fitxers, manipulació de processos i serveis, execució d'ordres de shell, obertura d'URL), control del sistema (apagada/reinici) i accions més agressives com ara l'inici d'activitats DDoS. El model de complement modular permet a un operador remot executar més de 35 càrregues útils DLL diferents a la memòria sense escriure-les al disc, cosa que proporciona a XWorm una superfície d'atac flexible alhora que redueix els rastres forenses.

Protocol de lliurament de complements

XWorm 6.x implementa un protocol de complements hash-first: el C2 emet una ordre 'plugin' que conté el hash SHA-256 de la DLL sol·licitada més els arguments de temps d'execució. El client comprova si ja té aquest complement emmagatzemat a la memòria cau; si no, sol·licita el fitxer amb 'sendplugin'. El servidor respon amb una ordre 'savePlugin' que conté el complement com un blob base64 i el seu hash SHA-256. El client descodifica el blob, verifica el hash i carrega la DLL directament a la memòria per a la seva execució.

Complements destacats i què fan

  • RemoteDesktop.dll: estableix una sessió remota interactiva.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll: robatori de credencials i dades del sistema operatiu i les aplicacions (claus de Windows, contrasenyes de Wi-Fi, credencials emmagatzemades al navegador, incloses les omissions per al xifratge d'aplicacions i recol·lectors per a FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — accés i manipulació del sistema de fitxers.
  • Shell.dll: execució oculta d'ordres d'operador mitjançant cmd.exe.
  • Informations.dll — empremta digital de l'amfitrió/sistema.
  • Webcam.dll: captura imatges/vídeos de la càmera web per confirmar que es tracta d'una víctima real.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll: enumera les connexions de xarxa, les finestres actives i les entrades d'inici automàtic.
  • Ransomware.dll: rutines de xifratge/desxifratge de fitxers (comparteix codi amb ransomware d'estil NoCry).
  • Rootkit.dll: instal·la un rootkit r77 modificat.
  • ResetSurvival.dll: modifica el Registre de Windows per sobreviure a certs restabliments de dispositius.

Altres programes maliciosos distribuïts a través d'infeccions de XWorm inclouen:

  • Lladre de Núvol Fosc
  • Cuc de H (VBS RAT)
  • Registrador de teclats de serp
  • Miners de monedes
  • programari maliciós pur
  • ShadowSniff (lladre de rovell, codi obert)
  • Lladre fantasma
  • Lladre de fenodrons
  • Remcos RAT

Contratemps operacionals, fragmentació i forquilles armades

El desenvolupament de XWorm no ha estat lineal. A la segona meitat del 2024, la persona XCoder va eliminar bruscament la seva presència a Telegram, cosa que va fer dubtar del futur del projecte. Tanmateix, aquesta bretxa va generar activitat oportunista: paquets XWorm v5.6 piratejats que van ser troianitzats per infectar altres actors d'amenaces i campanyes d'enginyeria social dirigides a "script kiddies" a través de GitHub i altres canals públics, campanyes que els investigadors estimen que van intentar comprometre desenes de milers de dispositius (segons s'informa, més de 18.000).

Els analistes també van trobar forques modificades, incloent-hi una variant etiquetada com a XSPY (origen reportat: variant en llengua xinesa) i una debilitat crítica d'execució remota de codi (RCE) en algunes compilacions que permetia a algú que posseïa la clau de xifratge C2 executar codi arbitrari en hosts infectats. La fragmentació del conjunt d'eines fa que l'atribució i la retirada siguin més difícils; diferents venedors i forques poden aparèixer i desaparèixer de forma independent.

El resurfacing del 2025: XWorm 6.0 i l’activitat del mercat

El 4 de juny de 2025, un proveïdor que es feia dir XCoderTools va publicar XWorm 6.0 en fòrums de ciberdelinqüència amb un preu de 500 dòlars per a accés de per vida, afirmant que la versió s'havia recodificat completament i que la falla RCE reportada anteriorment s'havia corregit. No està clar si aquesta versió va provenir de l'autor original o d'un tercer que aprofita la marca XWorm. Les mostres observades de XWorm 6.0 estan configurades per contactar amb un C2 al 94.159.113[.]64 al port 4411 i implementar el protocol de complement descrit anteriorment, permetent el lliurament ràpid i en memòria de desenes de mòduls DLL.

Conclusió

El cicle de vida de XWorm (des del desenvolupament actiu, passant per l'abandonament i la reaparició sota nous venedors i versions piratejades amb troians) és un recordatori que el programari maliciós és un ecosistema. Fins i tot si un autor original desapareix, el seu codi pot ser bifurcat, convertit en arma i redistribuït per altres. Per tant, els defensors s'han de centrar en controls resistents i estratègies de detecció que assumeixin que els adversaris reutilitzaran i reempaquetaran els conjunts d'eines existents.

Tendència

Versió de la vostra bústia de correu deixarà de ser...

Phishing, Correu brossa
Els estafadors en línia desenvolupen contínuament nous trucs per enganyar els usuaris i robar dades valuoses. Un exemple és l'estafa "Versió de la vostra bústia de correu es descontinuarà", una campanya de phishing dissenyada per obtenir credencials d'inici de sessió de víctimes desprevingudes. Els experts en ciberseguretat adverteixen que aquests missatges fraudulents no estan associats a cap...

Més vist

Carregant...