Rabattilbud med flere licenser
Trusseldatabase Malware XWorm 6.0 Malware

XWorm 6.0 Malware

Med Mezo i Malware, Orme
Oversæt til:

Sikkerhedsforskere har sporet XWorm fra et kompakt fjernadgangsframework til en meget modulær platform, som operatører bruger til at køre en bred vifte af ondsindede operationer på kompromitterede Windows-værter. XWorm blev først markeret i 2022 og knyttet til en gruppe ved hjælp af navnet EvilCoder. Det er blevet aktivt udviklet og omarbejdet af enkeltpersoner, der bruger personaerne XCoder (ledende udvikler indtil midten af 2024) og, for nylig, sælgere som XCoderTools. Dets fortsatte udvikling og genopståen demonstrerer, hvor hurtigt et værktøj kan fragmenteres, ompakkes og genindtræde i naturen.

Sådan er XWorm bygget — Core + Plugins

XWorms arkitektur er centreret omkring en lille klient, der opretter forbindelse til en Command-and-Control (C2) server og et stort sæt plug-in nyttelast, der indlæses i hukommelsen efter behov. Designet giver operatører mulighed for at beholde den lette klient på en vært, mens de dynamisk skubber funktionalitet (DLL'er) for at udføre specifikke opgaver. Projektets økosystem har også inkluderet hjælpeværktøjer, der promoveres af udviklerne: en .NET malware builder, en separat RAT kaldet XBinder og et værktøj, der forsøger at omgå Windows User Account Control (UAC). Udviklerfællesskabet omkring XWorm har annonceret andre komponenter og falske installationsprogrammer (især ondsindede ScreenConnect-installationsprogrammer) som distributionslokkemidler.

Infektionskæder og leveringsteknikker

Forskere har observeret flere skiftende infektionsarbejdsgange for XWorm. Tidlige kæder var afhængige af phishing-beskeder, der leverede Windows-genvejsfiler (LNK'er); LNK'erne udførte PowerShell, som droppede lokkefiler (f.eks. en harmløs TXT) og en vildledende eksekverbar fil (ofte forklædt som Discord), der i sidste ende lancerede den rigtige nyttelast. Nyere kampagner, der distribuerer 6.x-familien, har brugt ondsindede JavaScript-vedhæftninger i phishing-e-mails, der viser en lokke-PDF, mens de udfører baggrunds-PowerShell, der injicerer XWorm i legitime processer såsom RegSvcs.exe for at undgå detektion. Trusselaktører har også sendt crackede eller trojaniserede versioner af XWorm-komponenter gennem GitHub-repos, fildelingssider, Telegram-kanaler og YouTube i et forsøg på at narre mindre dygtige operatører til at installere bagdørsbyggere.

Undvigelse, fjernbetjening og operatørfunktioner

XWorm integrerer flere anti-analysekontroller, der afbryder udførelsen, når den registrerer virtualiserings- eller sandkasseindikatorer. Når klienten er aktiv, accepterer den kommandoer fra C2, der dækker almindelige RAT-operationer (filoverførsel, proces- og servicemanipulation, udførelse af shell-kommandoer, åbning af URL'er), systemkontrol (nedlukning/genstart) og mere aggressive handlinger såsom at starte DDoS-aktivitet. Den modulære plugin-model giver en fjernoperatør mulighed for at køre mere end 35 forskellige DLL-nyttelaster i hukommelsen uden at skrive dem til disken, hvilket giver XWorm en fleksibel angrebsflade, samtidig med at det reducerer retsmedicinske spor.

Plugin-leveringsprotokol

XWorm 6.x implementerer en hash-first plugin-protokol: C2 udsteder en 'plugin'-kommando, der indeholder SHA-256-hashen for den anmodede DLL plus runtime-argumenter. Klienten kontrollerer, om den allerede har plugin'et cachelagret; hvis ikke, anmoder den om filen med 'sendplugin'. Serveren svarer med en 'savePlugin'-kommando, der indeholder plugin'et som en base64-blob og dens SHA-256-hash. Klienten afkoder bloben, verificerer hashen og indlæser DLL'en direkte i hukommelsen til udførelse.

Bemærkelsesværdige plugins og hvad de gør

  • RemoteDesktop.dll — etablerer en interaktiv fjernsession.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — tyveri af legitimationsoplysninger og data fra operativsystemer og applikationer (Windows-nøgler, Wi-Fi-adgangskoder, browserlagrede legitimationsoplysninger, herunder omgåelser af app-bundet kryptering og indsamlere til FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — adgang til og manipulation af filsystemet.
  • Shell.dll — skjult udførelse af operatorkommandoer via cmd.exe.
  • Informations.dll — fingeraftryk af vært/system.
  • Webcam.dll — optager webcambilleder/video for at bekræfte et rigtigt offer.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — opregner netværksforbindelser, aktive vinduer og autostart-poster.
  • Ransomware.dll — rutiner for filkryptering/dekryptering (deler kode med NoCry-lignende ransomware).
  • Rootkit.dll — installerer et modificeret r77 rootkit.
  • ResetSurvival.dll — ændrer Windows-registreringsdatabasen, så den overlever visse enhedsnulstillinger.

Anden malware distribueret via XWorm-infektioner inkluderer:

  • DarkCloud Stealer
  • Horm (VBS-rotte)
  • Snake Keylogger
  • Møntminere
  • Ren malware
  • ShadowSniff (Rusttyver, open source)
  • Fantomstyver
  • Phemedrone Stealer
  • Remcos RAT

    • Operationelle tilbageslag, fragmentering og bevæbnede gafler

    XWorms udvikling har ikke været lineær. I anden halvdel af 2024 slettede personaen XCoder pludselig deres Telegram-tilstedeværelse, hvilket såede tvivl om projektets fremtid. Dette hul affødte dog opportunistisk aktivitet: crackede XWorm v5.6-pakker, der selv var trojanere for at inficere andre trusselsaktører, og social engineering-kampagner rettet mod 'script kiddies' via GitHub og andre offentlige kanaler – kampagner, som forskere anslår forsøgte at kompromittere titusindvis af enheder (angiveligt over 18.000).

    Analytikere fandt også modificerede forks, herunder en variant mærket XSPY (rapporteret oprindelse: kinesisksproget variant) og en kritisk svaghed i fjernkodeudførelse (RCE) i nogle builds, der tillod en person med C2-krypteringsnøglen at udføre vilkårlig kode på inficerede værter. Værktøjskassens fragmentering gør tilskrivning og fjernelse vanskeligere; forskellige sælgere og forks kan dukke op og forsvinde uafhængigt af hinanden.

    Genopretningen i 2025: XWorm 6.0 og markedspladsaktivitet

    Den 4. juni 2025 offentliggjorde en leverandør, der kalder sig XCoderTools, XWorm 6.0 på cyberkriminalitetsfora til en pris på $500 for livstidsadgang og hævdede, at udgivelsen var fuldstændig omkodet, og at den tidligere rapporterede RCE-fejl var blevet rettet. Det er uklart, om denne udgivelse kom fra den oprindelige forfatter eller fra en tredjepart, der udnyttede XWorm-brandet. Observerede XWorm 6.0-eksempler er konfigureret til at kontakte en C2 på 94.159.113[.]64 på port 4411 og implementere den ovenfor beskrevne plugin-protokol, hvilket muliggør hurtig levering af snesevis af DLL-moduler i hukommelsen.

    Konklusion

    XWorms livscyklus – fra aktiv udvikling via opgivelse til genopblussen under nye sælgere og trojaniserede, crackede builds – er en påmindelse om, at malware er et økosystem. Selv hvis en oprindelig forfatter forsvinder, kan deres kode forkedes, gøres til et våben og omimplementeres af andre. Forsvarere skal derfor fokusere på robuste kontroller og detektionsstrategier, der antager, at modstandere vil genbruge og ompakke eksisterende værktøjssæt.

    Trending

    Mest sete

    Indlæser...