Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma XWorm 6.0 -haittaohjelma

XWorm 6.0 -haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Matoja
Käännä:

Tietoturvatutkijat ovat jäljittäneet XWormin kompaktista etäkäyttökehyksestä erittäin modulaariseksi alustaksi, jota operaattorit käyttävät monenlaisten haitallisten toimintojen suorittamiseen vaarantuneilla Windows-palvelimilla. XWorm ilmoitettiin ensimmäisen kerran vuonna 2022 ja yhdistettiin ryhmään EvilCoder-käyttäjänimeä käyttäen. Sitä on aktiivisesti kehittänyt ja muokannut yksilöt XCoder-persoonien (pääkehittäjä vuoden 2024 puoliväliin asti) avulla ja viime aikoina myös myyjien, kuten XCoderToolsin, toimesta. Sen jatkuva kehitys ja uudelleenilmestymiset osoittavat, kuinka nopeasti työkalu voi fragmentoitua, pakata uudelleen ja palata käyttöön.

XWormin rakentaminen — Ydin + laajennukset

XWormin arkkitehtuuri keskittyy pieneen asiakasohjelmaan, joka on yhteydessä Command-and-Control (C2) -palvelimeen, sekä suureen joukkoon laajennushyötykuormia, jotka ladataan muistiin tarvittaessa. Suunnittelun ansiosta operaattorit voivat pitää kevyen asiakasohjelman isännässä ja samalla dynaamisesti ladata toiminnallisuuksia (DLL) tiettyjen tehtävien suorittamiseksi. Projektin ekosysteemiin on sisältynyt myös kehittäjien mainostamia aputyökaluja: .NET-haittaohjelmien rakentaja, erillinen RAT-niminen XBinder ja apuohjelma, joka yrittää ohittaa Windowsin käyttäjätilien valvonnan (UAC). XWormin ympärillä oleva kehittäjäyhteisö on mainostanut muita komponentteja ja väärennettyjä asennusohjelmia (erityisesti haitallisia ScreenConnect-asennusohjelmia) jakelusyötteinä.

Tartuntaketjut ja -tekniikat

Tutkijat ovat havainneet useita, muuttuvia XWorm-tartuntaprosesseja. Varhaiset ketjut perustuivat tietojenkalasteluviesteihin, jotka toimittivat Windowsin pikakuvakkeita (LNK); LNK-ketjut suorittivat PowerShellin, joka pudotti houkutustiedostoja (esimerkiksi harmitonta TXT-tiedostoa) ja harhaanjohtavaa suoritettavaa tiedostoa (yleensä naamioituneena Discordiksi), joka lopulta käynnisti todellisen hyötysisällön. Uudemmat 6.x-perhettä levittävät kampanjat ovat käyttäneet haitallisia JavaScript-liitteitä tietojenkalasteluviesteissä, jotka näyttävät houkutus-PDF-tiedoston samalla, kun ne suorittavat taustalla PowerShelliä, joka lisää XWormin laillisiin prosesseihin, kuten RegSvcs.exe:hen, välttääkseen havaitsemisen. Uhkatoimijat ovat myös levittäneet krakattuja tai troijalaisia versioita XWorm-komponenteista GitHub-arkistojen, tiedostonjakosivustojen, Telegram-kanavien ja YouTuben kautta yrittäen huijata vähemmän taitavia toimijoita asentamaan takaportin rakentajia.

Väistö-, kauko-ohjaus- ja käyttäjän ominaisuudet

XWorm integroi useita analyysinvastaisia tarkistuksia, jotka keskeyttävät suorituksen havaitessaan virtualisointi- tai hiekkalaatikkoindikaattoreita. Kun se on aktiivinen, asiakas hyväksyy C2:lta komentoja, jotka kattavat yleiset RAT-toiminnot (tiedostonsiirto, prosessien ja palveluiden käsittely, shell-komentojen suorittaminen, URL-osoitteiden avaaminen), järjestelmänhallinnan (sammutus/uudelleenkäynnistys) ja aggressiivisemmat toiminnot, kuten DDoS-toiminnan käynnistämisen. Modulaarinen laajennusmalli antaa etäoperaattorin suorittaa yli 35 erilaista DLL-hyötykuormaa muistissa kirjoittamatta niitä levylle, mikä antaa XWormille joustavan hyökkäyspinnan ja vähentää samalla rikosteknisiä jälkiä.

Plugin-toimitusprotokolla

XWorm 6.x toteuttaa tiivistealgoritmin (hash-first): C2 antaa 'plugin'-komennon, joka sisältää pyydetyn DLL-tiedoston SHA-256-tiivisteen sekä ajonaikaiset argumentit. Asiakas tarkistaa, onko laajennus jo tallennettu välimuistiin; jos ei, se pyytää tiedostoa 'sendplugin'-komennolla. Palvelin vastaa 'savePlugin'-komennolla, joka sisältää laajennuksen base64-blobina ja sen SHA-256-tiivisteen. Asiakas dekoodaa blobin, tarkistaa tiivisteen ja lataa DLL-tiedoston suoraan muistiin suoritusta varten.

Merkittäviä laajennuksia ja mitä ne tekevät

  • RemoteDesktop.dll — muodostaa interaktiivisen etäyhteyden.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll – tunnistetietojen ja tietojen varastaminen käyttöjärjestelmästä ja sovelluksista (Windows-avaimet, Wi-Fi-salasanat, selaimeen tallennetut tunnistetiedot, mukaan lukien sovelluskohtaisen salauksen ohitukset ja FileZillan, Discordin, Telegramin ja MetaMaskin tiedonkeruutyökalut).
  • FileManager.dll — tiedostojärjestelmän käyttö ja käsittely.
  • Shell.dll — operaattorikomentojen piilotettu suorittaminen cmd.exe-tiedoston kautta.
  • Informations.dll — isäntä-/järjestelmäsormenjälkien ottaminen.
  • Webcam.dll — tallentaa web-kameran kuvia/videoita varmistaakseen, että uhri on oikea.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — luettelee verkkoyhteydet, aktiiviset ikkunat ja automaattisen käynnistyksen merkinnät.
  • Ransomware.dll – tiedostojen salaus-/salauksen purkurutiinit (jakaa koodia NoCry-tyyppisen kiristysohjelman kanssa).
  • Rootkit.dll — asentaa muokatun r77-rootkitin.
  • ResetSurvival.dll — muokkaa Windowsin rekisteriä selvitäkseen tietyistä laitteiden nollauksista.

Muita XWorm-tartuntojen kautta leviäviä haittaohjelmia ovat:

  • DarkCloud Steeler
  • Hmato (VBS-rotta)
  • Snake Keylogger
  • Kolikonlouhijat
  • Puhdas haittaohjelma
  • ShadowSniff (ruosteen varastaja, avoimen lähdekoodin)
  • Aavevaras
  • Phemedrone Stealer
  • Remcos RAT

Toiminnalliset takaiskut, pirstaloituminen ja aseistetut haarukat

XWormin kehitys ei ole ollut lineaarista. Vuoden 2024 jälkipuoliskolla persona XCoder poisti äkillisesti Telegram-profiilinsa, mikä herätti epäilyksiä projektin tulevaisuudesta. Tämä tauko kuitenkin synnytti opportunistista toimintaa: murrettiin XWorm v5.6 -paketteja, jotka itse oli tartutettu troijalaisella tartuttamaan muita uhkatoimijoita, ja tehtiin sosiaalisen manipuloinnin kampanjoita, jotka kohdistuivat "script kiddies" -sivustoihin GitHubin ja muiden julkisten kanavien kautta – kampanjoita, joiden tutkijoiden arvioiden mukaan yritettiin vaarantaa kymmeniä tuhansia laitteita (kertoman mukaan yli 18 000).

Analyytikot löysivät myös muokattuja haarukoita, mukaan lukien XSPY-nimisen variantin (ilmoitettu alkuperä: kiinankielinen variantti) ja kriittisen etäkoodin suorittamisen (RCE) heikkouden joissakin koontiversioissa, jonka avulla C2-salausavaimen haltija pystyi suorittamaan mielivaltaista koodia tartunnan saaneilla palvelimilla. Työkalupakin pirstaloituminen vaikeuttaa attribuutio-ominaisuuksien tunnistamista ja poistamista; eri myyjät ja haarukat voivat ilmestyä ja kadota itsenäisesti.

Vuoden 2025 uudelleenpinnoitus: XWorm 6.0 ja markkinapaikkatoiminta

4. kesäkuuta 2025 itseään XCoderToolsiksi kutsuva myyjä julkaisi XWorm 6.0:n kyberrikollisuusfoorumeilla hintaan 500 dollaria elinikäisestä käyttöoikeudesta väittäen, että julkaisu oli koodattu kokonaan uudelleen ja että aiemmin raportoitu RCE-virhe oli korjattu. On epäselvää, tuliko tämä julkaisu alkuperäiseltä tekijältä vai kolmannelta osapuolelta, joka hyödyntää XWorm-brändiä. Havaitut XWorm 6.0 -näytteet on konfiguroitu ottamaan yhteyttä C2:een osoitteessa 94.159.113[.]64 portissa 4411 ja toteuttamaan edellä kuvatun laajennusprotokollan, mikä mahdollistaa kymmenien DLL-moduulien nopean toimituksen muistiin.

Lopputulos

XWormin elinkaari – aktiivisesta kehityksestä hylkäämisen kautta uudelleen ilmestymiseen uusien myyjien ja troijalaisten murrettujen versioiden alle – muistuttaa siitä, että haittaohjelma on ekosysteemi. Vaikka alkuperäinen tekijä katoaisi, hänen koodinsa voidaan haarata, asettaa ja ottaa uudelleen käyttöön muiden toimesta. Puolustajien on siksi keskityttävä kestäviin suojausmenetelmiin ja havaitsemisstrategioihin, jotka olettavat, että hyökkääjät käyttävät uudelleen ja pakkaavat uudelleen olemassa olevia työkaluja.

Trendaavat

Postilaatikkosi versio poistetaan käytöstä -huijaus

Tietojenkalastelu, Roskaposti
Verkkohuijarit kehittävät jatkuvasti uusia temppuja käyttäjien harhauttamiseksi ja arvokkaiden tietojen varastamiseksi. Yksi esimerkki tällaisesta huijauksesta on "Version Of Your Mailbox Will Be Discontinued" -huijaus, tietojenkalastelukampanja, jonka tarkoituksena on kerätä kirjautumistiedot tietämättömiltä uhreilta. Kyberturvallisuusasiantuntijat varoittavat, että näitä vilpillisiä viestejä...

Eniten katsottu

Ladataan...