Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό XWorm RAT

XWorm RAT

Μέχρι το Mezo το Κακόβουλο λογισμικό, Εργαλεία απομακρυσμένης διαχείρισης, Κλέφτες
Μετάφραση σε:

Απεικόνιση απειλών

Popularity Rank: 4,286
Επίπεδο απειλής: 80 % (Υψηλός)
Μολυσμένοι υπολογιστές: 312
Πρώτη εμφάνιση: April 24, 2023
Εθεάθη τελευταία: January 22, 2026
ΛΣ που επηρεάζονται: Windows

Το κακόβουλο λογισμικό XWorm αναγνωρίζεται ως απειλή από την κατηγορία Remote Access Trojan (RAT). Οι RAT έχουν σχεδιαστεί ειδικά για να επιτρέπουν τη μη εξουσιοδοτημένη πρόσβαση και τον έλεγχο του υπολογιστή του θύματος από εγκληματίες του κυβερνοχώρου. Με τη χρήση RAT, οι εισβολείς μπορούν να παρακολουθούν και να παρατηρούν εξ αποστάσεως τις δραστηριότητες των χρηστών, να κλέβουν ευαίσθητα δεδομένα και να εκτελούν ένα ευρύ φάσμα κακόβουλων λειτουργιών στο παραβιασμένο σύστημα, ανάλογα με τους συγκεκριμένους στόχους τους. Σύμφωνα με ερευνητές, το XWorm RAT προσφέρεται προς πώληση από τους προγραμματιστές του σε τιμή 400 $.

Το XWorm RAT μπορεί να κλέψει ένα ευρύ φάσμα ευαίσθητων πληροφοριών

Το XWorm RAT διαθέτει μια εκτεταμένη σειρά δυνατοτήτων που το καθιστούν μια εξαιρετικά εξελιγμένη και επικίνδυνη απειλή στα χέρια των εγκληματιών του κυβερνοχώρου. Μία από τις κύριες λειτουργίες του είναι η δυνατότητα κλοπής πολύτιμων πληροφοριών συστήματος από τον υπολογιστή του θύματος κρυφά. Το RAT μπορεί να κλέψει ευαίσθητα δεδομένα από δημοφιλή προγράμματα περιήγησης. Το XWorm μπορεί να εξάγει κωδικούς πρόσβασης, cookie, στοιχεία πιστωτικής κάρτας, σελιδοδείκτες, λήψεις, λέξεις-κλειδιά και ιστορικό περιήγησης από τα προγράμματα περιήγησης Chromium. Ομοίως, μπορεί να κλέβει κωδικούς πρόσβασης, cookies, σελιδοδείκτες και ιστορικό από τα προγράμματα περιήγησης Firefox, θέτοντας σε μεγάλο βαθμό σε κίνδυνο την ασφάλεια των διαδικτυακών δραστηριοτήτων του θύματος.

Επιπλέον, οι δυνατότητες του XWorm περιλαμβάνουν τη στόχευση μιας ποικιλίας εφαρμογών και υπηρεσιών. Μπορεί να κλέψει δεδομένα συνεδρίας Telegram, διακριτικά Discord, κωδικούς πρόσβασης WiFi, δεδομένα Metamask και FileZilla. Επιπλέον, το XWorm μπορεί να έχει πρόσβαση στον Επεξεργαστή Μητρώου, να καταγράφει πατήματα πλήκτρων, να εκτελεί ransomware για να κρυπτογραφεί αρχεία και να απαιτεί λύτρα και να χειρίζεται δεδομένα, υπηρεσίες και διαδικασίες του προχείρου.

Πέρα από την κλοπή πληροφοριών, το XWorm έχει τη δυνατότητα να εκτελεί αρχεία, παρέχοντας στους εισβολείς την εξουσία να εκτελούν διάφορα κακόβουλα προγράμματα και ωφέλιμα φορτία στο παραβιασμένο σύστημα. Επιπλέον, ο Trojan μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στην κάμερα web και στο μικρόφωνο του θύματος, παραβιάζοντας σημαντικά το απόρρητο και επιτρέποντας στους εισβολείς να παρακολουθούν τις δραστηριότητες του θύματος. Η εμβέλεια του XWorm επεκτείνεται ακόμη περισσότερο καθώς μπορεί να ανοίγει URL, να εκτελεί εντολές φλοιού και να διαχειρίζεται αρχεία, δίνοντας ουσιαστικά στους εισβολείς τον απόλυτο έλεγχο του υπολογιστή του θύματος.

Οι εισβολείς μπορούν ακόμη και να χρησιμοποιήσουν το XWorm για να ενεργοποιήσουν ή να απενεργοποιήσουν κρίσιμα στοιχεία και λειτουργίες του συστήματος, όπως Έλεγχος λογαριασμού χρήστη (UAC), Επεξεργαστής Μητρώου, Διαχείριση εργασιών, Τείχος προστασίας και ενημερώσεις συστήματος. Η δυνατότητα επίκλησης της Μπλε Οθόνης Θανάτου (BSoD) προσθέτει άλλο ένα επίπεδο διακοπής και πιθανής βλάβης στο σύστημα του θύματος.

Το XWorm RAT θα μπορούσε να χρησιμοποιηθεί για την παράδοση φορτίων Ransomware στις συσκευές που έχουν παραβιαστεί

Μια σημαντική ικανότητα του XWorm είναι η ικανότητά του να διεξάγει επιθέσεις ransomware. Το Ransomware είναι απειλητικό λογισμικό που κρυπτογραφεί αρχεία, καθιστώντας τα απρόσιτα χωρίς συγκεκριμένο κλειδί αποκρυπτογράφησης. Στη συνέχεια, οι χειριστές του XWorm μπορούν να απαιτήσουν πληρωμή από το θύμα με αντάλλαγμα την παροχή του απαραίτητου λογισμικού αποκρυπτογράφησης για την ανάκτηση πρόσβασης στα κρυπτογραφημένα αρχεία.

Επιπλέον, το XWorm έχει παρατηρηθεί ότι χρησιμοποιείται από κυβερνοεγκληματίες για πειρατεία προχείρου. Αυτή η τεχνική περιλαμβάνει την παρακολούθηση κακόβουλου λογισμικού και την υποκλοπή δεδομένων που έχουν αντιγραφεί στο πρόχειρο ενός θύματος, με ιδιαίτερη έμφαση στην αντικατάσταση των διευθύνσεων πορτοφολιού κρυπτονομισμάτων. Για παράδειγμα, εάν ένα θύμα αντιγράψει μια διεύθυνση πορτοφολιού Bitcoin, Ethereum ή άλλης διεύθυνσης κρυπτονομίσματος, το XWorm εντοπίζει τα δεδομένα και τα αντικαθιστά με μια διεύθυνση πορτοφολιού που ανήκει στους κυβερνοεγκληματίες. Κατά συνέπεια, τα θύματα στέλνουν άθελά τους τα χρήματά τους στο πορτοφόλι των χάκερ αντί για τη διεύθυνση του παραλήπτη.

Το εκτεταμένο εύρος κακόβουλων δυνατοτήτων που παρατηρείται στο XWorm RAT περιλαμβάνει επίσης μια λειτουργία καταγραφής πλήκτρων. Η καταγραφή πληκτρολογίου περιλαμβάνει την επιβλαβή διαδικασία της κρυφής καταγραφής και εγγραφής όλων των εισόδων πληκτρολογίου που γίνονται από έναν χρήστη σε ένα μολυσμένο σύστημα. Αυτό σημαίνει ότι οι κωδικοί πρόσβασης, τα διαπιστευτήρια σύνδεσης, τα ευαίσθητα μηνύματα και άλλες προσωπικές πληροφορίες καταγράφονται κρυφά και μεταδίδονται στον διακομιστή εντολών και ελέγχου του εισβολέα.

Έκθεση ανάλυσης

Γενικές πληροφορίες

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Μέγεθος αρχείου: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Μέγεθος αρχείου: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Μέγεθος αρχείου: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Μέγεθος αρχείου: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Μέγεθος αρχείου: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Μέγεθος αρχείου: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Ονομα αξία
Assembly Version 1.0.0.0
Company Name Synaptics
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
File Version
  • 1.0.0.4
  • 1.0.0.0
Internal Name
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
Original Filename
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
Product Version
  • 1.0.0.0

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 74
Potentially Malicious Blocks: 41
Whitelisted Blocks: 20
Unknown Blocks: 13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Δεδομένα API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
28,544
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...