Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό XWorm 6.0

Κακόβουλο λογισμικό XWorm 6.0

Μέχρι το Mezo το Κακόβουλο λογισμικό, Σκουλήκια
Μετάφραση σε:

Ερευνητές ασφαλείας έχουν εντοπίσει το XWorm από ένα συμπαγές πλαίσιο απομακρυσμένης πρόσβασης σε μια εξαιρετικά αρθρωτή πλατφόρμα που χρησιμοποιούν οι χειριστές για να εκτελούν ένα ευρύ φάσμα κακόβουλων λειτουργιών σε παραβιασμένους κεντρικούς υπολογιστές των Windows. Το XWorm, που εντοπίστηκε για πρώτη φορά το 2022 και συνδέθηκε με μια ομάδα που χρησιμοποιεί το όνομα EvilCoder, έχει αναπτυχθεί και αναδιαμορφωθεί ενεργά από άτομα που χρησιμοποιούν τα personas XCoder (κύριος προγραμματιστής μέχρι τα μέσα του 2024) και, πιο πρόσφατα, από πωλητές όπως το XCoderTools. Η συνεχής εξέλιξη και η επανεμφάνισή του καταδεικνύουν πόσο γρήγορα ένα εργαλείο μπορεί να κατακερματιστεί, να ανασυσκευαστεί και να επανέλθει στην άγρια φύση.

Πώς κατασκευάζεται το XWorm — Core + Plugins

Η αρχιτεκτονική του XWorm επικεντρώνεται σε έναν μικρό πελάτη που συνδέεται με έναν διακομιστή Command‑and‑Control (C2) και ένα μεγάλο σύνολο φορτίων πρόσθετων (plug‑in payloads) που φορτώνονται στη μνήμη κατ' απαίτηση. Ο σχεδιασμός επιτρέπει στους χειριστές να διατηρούν τον ελαφρύ πελάτη σε έναν κεντρικό υπολογιστή, ενώ παράλληλα προωθούν δυναμικά λειτουργίες (DLL) για την εκτέλεση συγκεκριμένων εργασιών. Το οικοσύστημα του έργου έχει επίσης συμπεριλάβει βοηθητικά εργαλεία που προωθούνται από τους προγραμματιστές: ένα εργαλείο δημιουργίας κακόβουλου λογισμικού .NET, ένα ξεχωριστό RAT που ονομάζεται XBinder και ένα βοηθητικό πρόγραμμα που επιχειρεί να παρακάμψει τον Έλεγχο Λογαριασμού Χρήστη των Windows (UAC). Η κοινότητα προγραμματιστών γύρω από το XWorm έχει διαφημίσει άλλα στοιχεία και ψεύτικα προγράμματα εγκατάστασης (κυρίως κακόβουλα προγράμματα εγκατάστασης ScreenConnect) ως δολώματα διανομής.

Αλυσίδες Μόλυνσης και Τεχνικές Παράδοσης

Οι ερευνητές έχουν παρατηρήσει πολλαπλές, μεταβαλλόμενες ροές εργασίας μόλυνσης για το XWorm. Οι πρώτες αλυσίδες βασίζονταν σε μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που παρέδιδαν αρχεία συντομεύσεων των Windows (LNK). Τα LNK εκτελούσαν το PowerShell, το οποίο απέδιδε αρχεία-δολώματα (για παράδειγμα, ένα ακίνδυνο TXT) και ένα παραπλανητικό εκτελέσιμο (συνήθως μεταμφιεσμένο ως Discord) που τελικά εκτόξευε το πραγματικό φορτίο. Πιο πρόσφατες καμπάνιες που διανέμουν την οικογένεια 6.x έχουν χρησιμοποιήσει κακόβουλα συνημμένα JavaScript σε email ηλεκτρονικού "ψαρέματος" (phishing) που εμφανίζουν ένα PDF-δόλωμα ενώ εκτελούν PowerShell στο παρασκήνιο που εισάγει το XWorm σε νόμιμες διεργασίες όπως το RegSvcs.exe για να αποφύγουν την ανίχνευση. Οι απειλητικοί παράγοντες έχουν επίσης προωθήσει σπασμένες ή trojanized εκδόσεις των στοιχείων του XWorm μέσω αποθετηρίων GitHub, ιστότοπων κοινής χρήσης αρχείων, καναλιών Telegram και YouTube, προσπαθώντας να ξεγελάσουν λιγότερο έμπειρους χειριστές ώστε να εγκαταστήσουν backdoored builders.

Χαρακτηριστικά αποφυγής, τηλεχειρισμού και χειριστή

Το XWorm ενσωματώνει πολλαπλούς ελέγχους anti-analysis που διακόπτουν την εκτέλεση όταν ανιχνεύει δείκτες εικονικοποίησης ή sandbox. Μόλις ενεργοποιηθεί, ο υπολογιστής-πελάτης δέχεται εντολές από το C2 που καλύπτουν συνήθεις λειτουργίες RAT (μεταφορά αρχείων, χειρισμός διεργασιών και υπηρεσιών, εκτέλεση εντολών shell, άνοιγμα URL), έλεγχο συστήματος (τερματισμός/επανεκκίνηση) και πιο επιθετικές ενέργειες, όπως η εκκίνηση δραστηριότητας DDoS. Το μοντέλο modular plugin επιτρέπει σε έναν απομακρυσμένο χειριστή να εκτελεί περισσότερα από 35 διαφορετικά φορτία DLL στη μνήμη χωρίς να τα εγγράφει στο δίσκο, δίνοντας στο XWorm μια ευέλικτη επιφάνεια επίθεσης, μειώνοντας παράλληλα τα εγκληματολογικά ίχνη.

Πρωτόκολλο παράδοσης πρόσθετων (plugin delivery protocol)

Το XWorm 6.x υλοποιεί ένα πρωτόκολλο προσθήκης που βασίζεται σε hash-first: το C2 εκδίδει μια εντολή 'plugin' που περιέχει το hash SHA‑256 του αιτούμενου DLL συν τα ορίσματα χρόνου εκτέλεσης. Ο πελάτης ελέγχει εάν έχει ήδη αποθηκευμένο στην προσωρινή μνήμη αυτό το plugin. Εάν όχι, ζητά το αρχείο με 'sendplugin'. Ο διακομιστής απαντά με μια εντολή 'savePlugin' που φέρει το plugin ως blob base64 και το hash SHA‑256 του. Ο πελάτης αποκωδικοποιεί το blob, επαληθεύει το hash και φορτώνει το DLL απευθείας στη μνήμη για εκτέλεση.

Αξιοσημείωτα πρόσθετα και τι κάνουν

  • RemoteDesktop.dll — δημιουργεί μια διαδραστική απομακρυσμένη συνεδρία.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — κλοπή διαπιστευτηρίων και δεδομένων από λειτουργικό σύστημα και εφαρμογές (κλειδιά των Windows, κωδικοί πρόσβασης Wi-Fi, διαπιστευτήρια που είναι αποθηκευμένα σε προγράμματα περιήγησης, συμπεριλαμβανομένων παρακάμψεων για κρυπτογράφηση που συνδέεται με εφαρμογές και συλλέκτες για FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — πρόσβαση και χειρισμός συστήματος αρχείων.
  • Shell.dll — κρυφή εκτέλεση εντολών χειριστή μέσω cmd.exe.
  • Informations.dll — αποτύπωμα κεντρικού υπολογιστή/συστήματος.
  • Webcam.dll — καταγράφει εικόνες/βίντεο από την κάμερα web για να επιβεβαιώσει την ύπαρξη πραγματικού θύματος.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — απαριθμεί συνδέσεις δικτύου, ενεργά παράθυρα και καταχωρήσεις αυτόματης εκκίνησης.
  • Ransomware.dll — ρουτίνες κρυπτογράφησης/αποκρυπτογράφησης αρχείων (κοινοχρησιμοποιεί κώδικα με ransomware τύπου NoCry).
  • Rootkit.dll — εγκαθιστά ένα τροποποιημένο rootkit r77.
  • ResetSurvival.dll — τροποποιεί το μητρώο των Windows ώστε να παραμένει σε ισχύ μετά από ορισμένες επαναφορές συσκευών.

Άλλα κακόβουλα προγράμματα που διανέμονται μέσω μολύνσεων από XWorm περιλαμβάνουν:

  • Κλέφτης DarkCloud
  • Hworm (VBS RAT)
  • Καταγραφέας κλειδιών Snake
  • Εξορύκτες νομισμάτων
  • Καθαρό κακόβουλο λογισμικό
  • ShadowSniff (Κλέφτης σκουριάς, ανοιχτού κώδικα)
  • Φάντασμα Κλέφτης
  • Κλέφτης Φαιμεδρόνης
  • Remcos RAT

    • Επιχειρησιακά Αποτυχήματα, Κατακερματισμός και Οπλισμένες Πιρούνες

    Η ανάπτυξη του XWorm δεν ήταν γραμμική. Στο δεύτερο εξάμηνο του 2024, το πρόσωπο XCoder διέγραψε απότομα την παρουσία του στο Telegram, θέτοντας υπό αμφισβήτηση το μέλλον του έργου. Αυτό το κενό, ωστόσο, δημιούργησε ευκαιριακή δραστηριότητα: έσπασε πακέτα XWorm v5.6 που τα ίδια είχαν μολυνθεί με trojan για να μολύνουν άλλους απειλητικούς παράγοντες, και καμπάνιες κοινωνικής μηχανικής που στόχευαν «script kiddies» μέσω του GitHub και άλλων δημόσιων καναλιών — καμπάνιες που οι ερευνητές εκτιμούν ότι επιχείρησαν να θέσουν σε κίνδυνο δεκάδες χιλιάδες συσκευές (αναφέρεται ότι πάνω από 18.000).

    Οι αναλυτές εντόπισαν επίσης τροποποιημένα forks, συμπεριλαμβανομένης μιας παραλλαγής με την ονομασία XSPY (αναφερόμενη προέλευση: παραλλαγή κινεζικής γλώσσας) και μια αδυναμία στην κρίσιμη απομακρυσμένη εκτέλεση κώδικα (RCE) σε ορισμένες εκδόσεις που επέτρεπε σε κάποιον που κατείχε το κλειδί κρυπτογράφησης C2 να εκτελέσει αυθαίρετο κώδικα σε μολυσμένους κεντρικούς υπολογιστές. Ο κατακερματισμός του κιτ εργαλείων καθιστά την απόδοση και την κατάργηση πιο δύσκολη. Διαφορετικοί πωλητές και forks μπορούν να εμφανίζονται και να εξαφανίζονται ανεξάρτητα.

    Η Αναζωογόνηση του 2025: XWorm 6.0 και Δραστηριότητα στην Αγορά

    Στις 4 Ιουνίου 2025, ένας προμηθευτής που αυτοαποκαλείται XCoderTools δημοσίευσε το XWorm 6.0 σε φόρουμ για το κυβερνοέγκλημα με τιμή 500$ για πρόσβαση εφ' όρου ζωής, ισχυριζόμενος ότι η έκδοση είχε επανακωδικοποιηθεί πλήρως και ότι το προηγουμένως αναφερόμενο ελάττωμα RCE είχε διορθωθεί. Δεν είναι σαφές εάν αυτή η έκδοση προήλθε από τον αρχικό δημιουργό ή από τρίτο μέρος που αξιοποιεί την επωνυμία XWorm. Τα παρατηρούμενα δείγματα XWorm 6.0 έχουν ρυθμιστεί ώστε να επικοινωνούν με ένα C2 στη διεύθυνση 94.159.113[.]64 στη θύρα 4411 και να εφαρμόζουν το πρωτόκολλο plugin που περιγράφεται παραπάνω, επιτρέποντας την ταχεία παράδοση δεκάδων μονάδων DLL στη μνήμη.

    Συμπέρασμα

    Ο κύκλος ζωής του XWorm — από την ενεργή ανάπτυξη έως την εγκατάλειψη και την επανεμφάνιση υπό νέους πωλητές και trojanized cracked builds — αποτελεί μια υπενθύμιση ότι το κακόβουλο λογισμικό είναι ένα οικοσύστημα. Ακόμα κι αν ένας αρχικός δημιουργός εξαφανιστεί, ο κώδικά του μπορεί να διακλαδωθεί, να μετατραπεί σε όπλο και να αναδιαμορφωθεί από άλλους. Οι υπερασπιστές πρέπει επομένως να επικεντρωθούν σε ανθεκτικούς ελέγχους και στρατηγικές ανίχνευσης που υποθέτουν ότι οι αντίπαλοι θα επαναχρησιμοποιήσουν και θα ανασυσκευάσουν υπάρχοντα σύνολα εργαλείων.

    Τάσεις

    Η έκδοση του γραμματοκιβωτίου σας θα διακοπεί - απάτη

    Phishing, Ανεπιθύμητη αλληλογραφία
    Οι διαδικτυακοί απατεώνες αναπτύσσουν συνεχώς νέα κόλπα για να εξαπατήσουν τους χρήστες και να κλέψουν πολύτιμα δεδομένα. Ένα τέτοιο παράδειγμα είναι η απάτη «Η έκδοση του γραμματοκιβωτίου σας θα διακοπεί», μια εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) που έχει σχεδιαστεί για να συλλέγει διαπιστευτήρια σύνδεσης από ανυποψίαστα θύματα. Οι ειδικοί στον κυβερνοχώρο προειδοποιούν ότι αυτά τα...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    33,974
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...