Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware XWorm 6.0

Malware XWorm 6.0

V roce Mezo v roce Malware, Červi
Přeložit do:

Bezpečnostní výzkumníci vystopovali XWorm z kompaktního frameworku pro vzdálený přístup do vysoce modulární platformy, kterou operátoři používají ke spuštění široké škály škodlivých operací na napadených hostitelích s Windows. XWorm, poprvé označený v roce 2022 a propojený se skupinou pomocí přezdívky EvilCoder, byl aktivně vyvíjen a přepracováván jednotlivci používajícími persony XCoder (hlavní vývojář do poloviny roku 2024) a v poslední době i prodejci, jako je XCoderTools. Jeho neustálý vývoj a znovuobjevení ukazují, jak rychle se nástroj může fragmentovat, přebalit a znovu se dostat do volné přírody.

Jak je XWorm postaven — Jádro + Pluginy

Architektura XWormu se zaměřuje na malého klienta, který komunikuje se serverem Command-and-Control (C2), a na velkou sadu pluginů, které se načítají do paměti na vyžádání. Tento design umožňuje operátorům ponechat lehkého klienta na hostiteli a zároveň dynamicky načítat funkce (DLL) pro provádění specifických úkolů. Ekosystém projektu zahrnuje také pomocné nástroje propagované vývojáři: nástroj pro tvorbu malwaru pro .NET, samostatný RAT s názvem XBinder a nástroj, který se pokouší obejít Řízení uživatelských účtů systému Windows (UAC). Komunita vývojářů kolem XWormu inzeruje další komponenty a falešné instalační programy (zejména škodlivé instalační programy ScreenConnect) jako lákadla pro distribuci.

Infekční řetězce a techniky přenosu

Výzkumníci pozorovali několik měnících se pracovních postupů infekce viru XWorm. Rané řetězce se spoléhaly na phishingové zprávy, které doručovaly soubory zástupců systému Windows (LNK); LNK spouštěly PowerShell, který umisťoval návnadové soubory (například neškodný TXT) a klamavý spustitelný soubor (obvykle maskovaný jako Discord), který nakonec spustil skutečný obsah. Novější kampaně distribuující rodinu 6.x používaly škodlivé JavaScriptové přílohy v phishingových e-mailech, které zobrazovaly návnadový PDF soubor, zatímco spouštěly PowerShell na pozadí, který vkládá XWorm do legitimních procesů, jako je RegSvcs.exe, aby se vyhnuly odhalení. Aktéři útoku také šířili cracknuté nebo trojanské verze komponent XWorm prostřednictvím repozitářů GitHub, webů pro sdílení souborů, kanálů Telegram a YouTube ve snaze oklamat méně zkušené operátory k instalaci backdoorových builderů.

Funkce úhybného mechanismu, dálkového ovládání a operátora

XWorm integruje několik antianalytických kontrol, které přeruší spuštění, když detekují indikátory virtualizace nebo sandboxu. Jakmile je klient aktivní, přijímá příkazy z C2, které pokrývají běžné operace RAT (přenos souborů, manipulace s procesy a službami, provádění příkazů shellu, otevírání URL), ovládání systému (vypnutí/restart) a agresivnější akce, jako je spuštění DDoS aktivity. Modulární model pluginů umožňuje vzdálenému operátorovi spustit více než 35 různých DLL dat v paměti bez nutnosti jejich zápisu na disk, což dává XWormu flexibilní povrch pro útok a zároveň snižuje forenzní stopy.

Protokol pro doručování pluginů

XWorm 6.x implementuje protokol pluginů typu hash-first: C2 vydá příkaz „plugin“, který obsahuje SHA-256 hash požadované knihovny DLL a argumenty za běhu. Klient zkontroluje, zda již má daný plugin uložen v mezipaměti; pokud ne, vyžádá si soubor s příkazem „sendplugin“. Server odpoví příkazem „savePlugin“, který obsahuje plugin jako base64 blob a jeho SHA-256 hash. Klient dekóduje blob, ověří hash a načte knihovnu DLL přímo do paměti ke spuštění.

Pozoruhodné pluginy a co dělají

  • RemoteDesktop.dll – navazuje interaktivní vzdálenou relaci.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — krádež přihlašovacích údajů a dat z operačního systému a aplikací (klíče Windows, hesla k Wi-Fi, přihlašovací údaje uložené v prohlížeči, včetně obcházení šifrování vázaného na aplikace a harvestery pro FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — přístup k souborovému systému a manipulace s ním.
  • Shell.dll — skryté provádění příkazů operátora prostřednictvím cmd.exe.
  • Informations.dll — otisky prstů hostitele/systému.
  • Webcam.dll — zachycuje snímky/video z webové kamery pro ověření skutečné oběti.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – vypíše síťová připojení, aktivní okna a položky automatického spuštění.
  • Ransomware.dll – rutiny pro šifrování/dešifrování souborů (sdílí kód s ransomwarem ve stylu NoCry).
  • Rootkit.dll – nainstaluje upravený rootkit r77.
  • ResetSurvival.dll – upravuje registr systému Windows tak, aby přežil resetování některých zařízení.

Mezi další malware distribuovaný prostřednictvím infekcí XWorm patří:

  • Zloděj temného mraku
  • Hčerv (VBS RAT)
  • Snake KeyLogger
  • Těžaři mincí
  • Čistý malware
  • ShadowSniff (zloděj rzi, open-source)
  • Fantomový zloděj
  • Zloděj femedronu
  • Remcos RAT

Provozní neúspěchy, fragmentace a ozbrojené vidlice

Vývoj XWormu nebyl lineární. Ve druhé polovině roku 2024 persona XCoder náhle smazala svůj účet na Telegramu, což vrhlo pochybnosti na budoucnost projektu. Tato mezera však vedla k oportunistické aktivitě: k prolomení balíčků XWormu v5.6, které byly samy o sobě infikovány trojskými koněm, aby nakazily další aktéry hrozby, a k kampaním sociálního inženýrství zaměřeným na „script kiddies“ prostřednictvím GitHubu a dalších veřejných kanálů – kampaním, které se podle odhadů výzkumníků pokusily kompromitovat desítky tisíc zařízení (údajně přes 18 000).

Analytici také objevili upravené forky, včetně varianty označené XSPY (uváděný původ: čínská varianta) a kritickou slabinu pro vzdálené spuštění kódu (RCE) v některých sestaveních, která umožňovala osobě s šifrovacím klíčem C2 spustit libovolný kód na infikovaných hostitelích. Fragmentace sady nástrojů ztěžuje atribuci a zastavení útoku; různí prodejci a forky se mohou objevovat a mizet nezávisle na sobě.

Obnova v roce 2025: XWorm 6.0 a aktivita na trhu

Dne 4. června 2025 zveřejnil prodejce nazývající se XCoderTools na fórech o kybernetické kriminalitě verzi XWorm 6.0 s cenou 500 dolarů za doživotní přístup a tvrdil, že verze byla kompletně překódována a že dříve nahlášená chyba RCE byla opravena. Není jasné, zda tato verze pochází od původního autora, nebo od třetí strany využívající značku XWorm. Pozorované vzorky XWorm 6.0 jsou nakonfigurovány tak, aby kontaktovaly C2 na adrese 94.159.113[.]64 na portu 4411 a implementovaly výše popsaný protokol pluginu, což umožňuje rychlé doručování desítek DLL modulů do paměti.

Sečteno a podtrženo

Životní cyklus XWormu – od aktivního vývoje přes opuštění až po opětovné objevení se pod vlivem nových prodejců a trojanských cracknutých sestavení – je připomínkou toho, že malware je ekosystém. I když původní autor zmizí, jeho kód může být forkován, zneužit jako zbraň a znovu nasazen jinými uživateli. Obránci se proto musí zaměřit na odolné kontroly a detekční strategie, které předpokládají, že útočníci budou znovu používat a přebalovat stávající sady nástrojů.

Trendy

Verze vaší poštovní schránky bude ukončena – podvod

Phishing, Spam
Online podvodníci neustále vyvíjejí nové triky, jak oklamat uživatele a odcizit cenná data. Jedním z takových příkladů je podvod „Verze vaší poštovní schránky bude ukončena“, což je phishingová kampaň, jejímž cílem je získat přihlašovací údaje od nic netušících obětí. Odborníci na kybernetickou bezpečnost varují, že tyto podvodné zprávy nejsou spojeny s žádnými legitimními společnostmi,...

Nejvíce shlédnuto

Načítání...