قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار XWorm 6.0

بدافزار XWorm 6.0

تا Mezo در بدافزار, کرم ها
ترجمه به:

محققان امنیتی، XWorm را از یک چارچوب دسترسی از راه دور فشرده به یک پلتفرم بسیار ماژولار ردیابی کرده‌اند که اپراتورها از آن برای اجرای طیف وسیعی از عملیات مخرب بر روی میزبان‌های ویندوزی آسیب‌دیده استفاده می‌کنند. XWorm که اولین بار در سال ۲۰۲۲ شناسایی و به گروهی با نام EvilCoder مرتبط شد، به طور فعال توسط افرادی با نام‌های XCoder (توسعه‌دهنده اصلی تا اواسط ۲۰۲۴) و اخیراً توسط فروشندگانی مانند XCoderTools توسعه داده و بازسازی شده است. تکامل و ظهور مجدد آن نشان می‌دهد که یک ابزار چقدر سریع می‌تواند تکه‌تکه شود، دوباره بسته‌بندی شود و دوباره وارد عرصه شود.

نحوه ساخت XWorm - هسته + افزونه‌ها

معماری XWorm بر یک کلاینت کوچک متمرکز است که به یک سرور Command‑and‑Control (C2) و مجموعه بزرگی از افزونه‌های مخرب که بنا به تقاضا در حافظه بارگذاری می‌شوند، متصل می‌شود. این طراحی به اپراتورها اجازه می‌دهد تا کلاینت سبک را روی یک میزبان نگه دارند و در عین حال به صورت پویا عملکردها (DLLها) را برای انجام وظایف خاص اجرا کنند. اکوسیستم این پروژه همچنین شامل ابزارهای جانبی است که توسط توسعه‌دهندگان تبلیغ می‌شوند: یک سازنده بدافزار .NET، یک RAT جداگانه به نام XBinder و ابزاری که سعی در دور زدن کنترل حساب کاربری ویندوز (UAC) دارد. جامعه توسعه‌دهندگان پیرامون XWorm، سایر اجزا و نصب‌کننده‌های جعلی (به‌ویژه نصب‌کننده‌های مخرب ScreenConnect) را به عنوان طعمه‌های توزیع تبلیغ کرده‌اند.

زنجیره‌های عفونت و تکنیک‌های انتقال

محققان گردش‌های کاری آلوده‌سازی چندگانه و متغیری را برای XWorm مشاهده کرده‌اند. زنجیره‌های اولیه به پیام‌های فیشینگ متکی بودند که فایل‌های میانبر ویندوز (LNK) را تحویل می‌دادند؛ LNKها PowerShell را اجرا می‌کردند که فایل‌های فریبنده (مثلاً یک TXT بی‌ضرر) و یک فایل اجرایی فریبنده (که معمولاً خود را به عنوان Discord جا می‌زد) را رها می‌کرد که در نهایت بار داده واقعی را راه‌اندازی می‌کرد. کمپین‌های جدیدتری که خانواده 6.x را توزیع می‌کنند، از پیوست‌های مخرب جاوا اسکریپت در ایمیل‌های فیشینگ استفاده کرده‌اند که یک PDF فریبنده را هنگام اجرای PowerShell در پس‌زمینه نمایش می‌دهند که XWorm را به فرآیندهای قانونی مانند RegSvcs.exe تزریق می‌کند تا از شناسایی شدن جلوگیری کند. عاملان تهدید همچنین نسخه‌های کرک شده یا تروجان‌شده اجزای XWorm را از طریق مخازن GitHub، سایت‌های اشتراک‌گذاری فایل، کانال‌های تلگرام و یوتیوب منتشر کرده‌اند و سعی کرده‌اند اپراتورهای کم‌مهارت‌تر را برای نصب سازندگان دارای در پشتی فریب دهند.

ویژگی‌های فرار، کنترل از راه دور و اپراتور

XWorm چندین بررسی ضد تحلیل را ادغام می‌کند که هنگام تشخیص نشانه‌های مجازی‌سازی یا جعبه شنی، اجرا را متوقف می‌کنند. پس از فعال شدن، کلاینت دستوراتی را از C2 می‌پذیرد که عملیات رایج RAT (انتقال فایل، دستکاری فرآیند و سرویس، اجرای دستورات shell، باز کردن URLها)، کنترل سیستم (خاموش کردن/راه‌اندازی مجدد) و اقدامات تهاجمی‌تر مانند راه‌اندازی فعالیت DDoS را پوشش می‌دهد. مدل افزونه ماژولار به یک اپراتور از راه دور اجازه می‌دهد بیش از 35 بار داده DLL مختلف را بدون نوشتن آنها روی دیسک، در حافظه اجرا کند و به XWorm یک سطح حمله انعطاف‌پذیر می‌دهد و در عین حال ردپاهای قانونی را کاهش می‌دهد.

پروتکل تحویل افزونه

XWorm 6.x پروتکل افزونه‌ی hash-first را پیاده‌سازی می‌کند: سرور C2 یک دستور «plugin» صادر می‌کند که حاوی هش SHA-256 مربوط به DLL درخواستی به همراه آرگومان‌های زمان اجرا است. کلاینت بررسی می‌کند که آیا آن افزونه از قبل در حافظه پنهان (cache) وجود دارد یا خیر؛ در غیر این صورت، فایل را با «sendplugin» درخواست می‌کند. سرور با دستور «savePlugin» پاسخ می‌دهد که افزونه را به عنوان یک blob پایه 64 و هش SHA-256 آن در خود جای داده است. کلاینت blob را رمزگشایی می‌کند، هش را تأیید می‌کند و DLL را مستقیماً برای اجرا در حافظه بارگذاری می‌کند.

افزونه‌های قابل توجه و کاری که انجام می‌دهند

  • RemoteDesktop.dll - یک جلسه تعاملی از راه دور برقرار می‌کند.
  • WindowsUpdate.dll، Stealer.dll، Recovery.dll، merged.dll، Chromium.dll، SystemCheck.Merged.dll — سرقت اطلاعات و داده‌ها از سیستم‌عامل و برنامه‌ها (کلیدهای ویندوز، رمزهای عبور Wi‑Fi، اطلاعات ذخیره‌شده در مرورگر، از جمله دور زدن رمزگذاری وابسته به برنامه، و ابزارهای جمع‌آوری اطلاعات برای FileZilla، Discord، Telegram، MetaMask).
  • FileManager.dll — دسترسی و دستکاری سیستم فایل.
  • Shell.dll - اجرای پنهان دستورات اپراتور از طریق cmd.exe.
  • Informations.dll — اثر انگشت میزبان/سیستم.
  • Webcam.dll - تصاویر/ویدئوهای وب‌کم را ضبط می‌کند تا قربانی واقعی را تأیید کند.
  • TCPConnections.dll، ActiveWindows.dll، StartupManager.dll — اتصالات شبکه، پنجره‌های فعال و ورودی‌های شروع خودکار را فهرست می‌کند.
  • Ransomware.dll — روال‌های رمزگذاری/رمزگشایی فایل (کد مشترک با باج‌افزار NoCry).
  • Rootkit.dll - یک روت‌کیت اصلاح‌شده‌ی r77 را نصب می‌کند.
  • ResetSurvival.dll — رجیستری ویندوز را تغییر می‌دهد تا از ریست شدن‌های خاص دستگاه جان سالم به در ببرد.

سایر بدافزارهای توزیع‌شده از طریق آلودگی‌های XWorm عبارتند از:

  • دزدگیر دارک کلود
  • کرم روده (VBS RAT)
  • کی‌لاگر مار
  • استخراج‌کنندگان سکه
  • بدافزار خالص
  • ShadowSniff (دزدان زنگ، متن‌باز)
  • دزد خیالی
  • فمدرون استیلر
  • رمکوس رت

    • شکست‌های عملیاتی، چندپارگی و چنگال‌های مسلح

    توسعه XWorm خطی نبوده است. در نیمه دوم سال 2024، شخصیت XCoder به طور ناگهانی حضور خود در تلگرام را حذف کرد و آینده این پروژه را در هاله‌ای از ابهام قرار داد. با این حال، این شکاف، فعالیت‌های فرصت‌طلبانه‌ای را ایجاد کرد: بسته‌های کرک شده XWorm نسخه 5.6 که خودشان برای آلوده کردن سایر عوامل تهدید، تروجان شده بودند و کمپین‌های مهندسی اجتماعی که از طریق GitHub و سایر کانال‌های عمومی «اسکریپت کیدی‌ها» را هدف قرار می‌دادند - کمپین‌هایی که محققان تخمین می‌زنند تلاش کرده‌اند ده‌ها هزار دستگاه (طبق گزارش‌ها بیش از 18000) را به خطر بیندازند.

    تحلیلگران همچنین انشعاب‌های اصلاح‌شده‌ای از جمله گونه‌ای با برچسب XSPY (منشأ گزارش‌شده: گونه‌ای به زبان چینی) و یک ضعف بحرانی اجرای کد از راه دور (RCE) را در برخی از نسخه‌ها یافتند که به فردی که کلید رمزگذاری C2 را در اختیار دارد، اجازه می‌دهد کد دلخواه را روی میزبان‌های آلوده اجرا کند. چندپارگی این ابزار، انتساب و حذف آن را دشوارتر می‌کند؛ فروشندگان و انشعاب‌های مختلف می‌توانند به‌طور مستقل ظاهر و ناپدید شوند.

    احیای ۲۰۲۵: XWorm 6.0 و فعالیت بازار

    در ۴ ژوئن ۲۰۲۵، فروشنده‌ای که خود را XCoderTools می‌نامید، XWorm 6.0 را در انجمن‌های جرایم سایبری با قیمت ۵۰۰ دلار برای دسترسی مادام‌العمر منتشر کرد و ادعا کرد که این نسخه به‌طور کامل بازنویسی شده و نقص RCE گزارش‌شده قبلی برطرف شده است. مشخص نیست که آیا این نسخه از سوی نویسنده اصلی منتشر شده است یا از سوی شخص ثالثی که از برند XWorm استفاده می‌کند. نمونه‌های مشاهده‌شده XWorm 6.0 طوری پیکربندی شده‌اند که با یک C2 در آدرس ۹۴.۱۵۹.۱۱۳[.]۶۴ روی پورت ۴۴۱۱ تماس بگیرند و پروتکل افزونه‌ای که در بالا توضیح داده شد را پیاده‌سازی کنند و امکان تحویل سریع و درون حافظه‌ای ده‌ها ماژول DLL را فراهم کنند.

    نکته‌ی اصلی

    چرخه حیات XWorm - از توسعه فعال تا رها شدن و ظهور مجدد تحت نام فروشندگان جدید و نسخه‌های کرک‌شده تروجان‌دار - یادآور این نکته است که بدافزار یک اکوسیستم است. حتی اگر یک نویسنده اصلی ناپدید شود، کد او می‌تواند توسط دیگران منشعب، مسلح و مجدداً مستقر شود. بنابراین، مدافعان باید بر کنترل‌های انعطاف‌پذیر و استراتژی‌های تشخیصی تمرکز کنند که فرض می‌کنند دشمنان از مجموعه ابزارهای موجود استفاده مجدد و دوباره بسته‌بندی خواهند کرد.

    پرطرفدار

    کلاهبرداری نسخه «صندوق پستی شما متوقف خواهد شد»

    فیشینگ, هرزنامه
    کلاهبرداران آنلاین دائماً ترفندهای جدیدی را برای فریب کاربران و سرقت داده‌های ارزشمند ابداع می‌کنند. یکی از این نمونه‌ها، کلاهبرداری «نسخه صندوق پستی شما متوقف خواهد شد» است، یک کمپین فیشینگ که برای جمع‌آوری اطلاعات ورود به سیستم از قربانیان ناآگاه طراحی شده است. کارشناسان امنیت سایبری هشدار می‌دهند که این پیام‌های کلاهبرداری با هیچ شرکت، سازمان یا ارائه‌دهنده خدمات قانونی مرتبط نیستند....

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    33,974
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...