תוכנה זדונית XWorm 6.0

חוקרי אבטחה עקבו אחר XWorm ממסגרת קומפקטית של גישה מרחוק לפלטפורמה מודולרית ביותר שבה משתמשים מפעילים כדי להפעיל מגוון רחב של פעולות זדוניות על מארחי Windows שנפגעו. XWorm, שסומן לראשונה בשנת 2022 וקושר לקבוצה המשתמשת בשם EvilCoder, פותח ועובד מחדש באופן פעיל על ידי אנשים המשתמשים בדמויות XCoder (המפתח הראשי עד אמצע 2024) ולאחרונה, על ידי מוכרים כמו XCoderTools. התפתחותו המתמשכת והופעתו מחדש מדגימות כמה מהר כלי יכול להתפרק, להיות ארוז מחדש ולחזור לטבע.

כיצד בנוי XWorm - ליבה + תוספים

הארכיטקטורה של XWorm מתמקדת בלקוח קטן שיוצר קשר עם שרת פיקוד ובקרה (C2) ומערכת גדולה של תוספים שנטענים לזיכרון לפי דרישה. העיצוב מאפשר למפעילים לשמור את הלקוח הקל משקל על גבי מארח תוך דחיפה דינמית של פונקציונליות (DLLs) לביצוע משימות ספציפיות. המערכת האקולוגית של הפרויקט כללה גם כלים נלווים שקודמו על ידי המפתחים: בונה תוכנות זדוניות של .NET, תוכנת RAT נפרדת בשם XBinder, וכלי עזר שמנסה לעקוף את בקרת חשבון המשתמש של Windows (UAC). קהילת המפתחים סביב XWorm פרסמה רכיבים אחרים ומתקינים מזויפים (בעיקר מתקיני ScreenConnect זדוניים) כפיתיוני הפצה.

שרשראות הדבקה וטכניקות העברה

חוקרים הבחינו בזרימות עבודה מרובות ומשתנות של הדבקה עבור XWorm. שרשראות מוקדמות הסתמכו על הודעות פישינג שהעבירו קבצי קיצור דרך של Windows (LNK); שרשראות ה-LNK ביצעו את PowerShell, אשר השמיט קבצי פיתוי (לדוגמה, TXT לא מזיק) וקובץ הרצה מטעה (בדרך כלל במסווה של Discord) שבסופו של דבר שיגר את המטען האמיתי. קמפיינים אחרונים יותר שהפיצו את משפחת 6.x השתמשו בקבצים מצורפים זדוניים של JavaScript בהודעות דיוג המציגות PDF פיתוי תוך כדי הפעלת PowerShell ברקע, אשר מזריק את XWorm לתהליכים לגיטימיים כמו RegSvcs.exe כדי להימנע מגילוי. גורמי איום גם דחפו גרסאות פרוצות או טרויאניות של רכיבי XWorm דרך מאגרי GitHub, אתרי שיתוף קבצים, ערוצי Telegram ו-YouTube, בניסיון להערים על מפעילים פחות מיומנים להתקין בוני תוכנות אחוריות.

התחמקות, שליטה מרחוק ותכונות מפעיל

XWorm משלב מספר בדיקות אנטי-אנליזה שמבטלות את הביצוע כאשר הוא מזהה אינדיקטורים של וירטואליזציה או ארגז חול. לאחר הפעלת המערכת, הלקוח מקבל פקודות מה-C2 המכסות פעולות RAT נפוצות (העברת קבצים, מניפולציה של תהליכים ושירותים, ביצוע פקודות מעטפת, פתיחת כתובות URL), בקרת מערכת (כיבוי/הפעלה מחדש) ופעולות אגרסיביות יותר כגון הפעלת פעילות DDoS. מודל התוסף המודולרי מאפשר למפעיל מרוחק להפעיל יותר מ-35 מטענים שונים של DLL בזיכרון מבלי לכתוב אותם לדיסק, מה שנותן ל-XWorm משטח תקיפה גמיש תוך צמצום עקבות פורנזיות.

פרוטוקול אספקת תוספים

XWorm 6.x מיישם פרוטוקול תוסף מסוג hash-first: ה-C2 מפיקה פקודת 'plugin' המכילה את ה-hash SHA-256 של קובץ ה-DLL המבוקש בתוספת ארגומנטים בזמן ריצה. הלקוח בודק אם התוסף כבר מאוחסן במטמון; אם לא, הוא מבקש את הקובץ באמצעות 'sendplugin'. השרת משיב עם פקודת 'savePlugin' הנושאת את התוסף כ-blob base64 ואת ה-hash SHA-256 שלו. הלקוח מפענח את ה-blob, מאמת את ה-hash וטוען את קובץ ה-DLL ישירות לזיכרון לצורך ביצוע.

תוספים בולטים ומה הם עושים

• RemoteDesktop.dll - יוצר סשן אינטראקטיבי מרחוק.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — גניבת אישורים ונתונים ממערכת הפעלה ומיישומים (מפתחות Windows, סיסמאות Wi-Fi, אישורים המאוחסנים בדפדפן, כולל עקיפות להצפנה הקשורה לאפליקציות, וקבצי גניבה עבור FileZilla, Discord, Telegram, MetaMask).
• FileManager.dll - גישה ותפעול של מערכת הקבצים.
• Shell.dll - ביצוע פקודות אופרטור מוסתר דרך cmd.exe.
• Informations.dll - טביעת אצבע של המארח/מערכת.
• Webcam.dll - לוכד תמונות/וידאו ממצלמת הרשת כדי לאשר קורבן אמיתי.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll - מונה חיבורי רשת, חלונות פעילים וערכי הפעלה אוטומטית.
• Ransomware.dll - שגרות הצפנה/פענוח קבצים (חולק קוד עם תוכנת כופר בסגנון NoCry).
• Rootkit.dll - מתקין רוטקיט r77 שעבר שינוי.
• ResetSurvival.dll - משנה את הרישום של Windows כדי לשרוד איפוסים מסוימים של המכשיר.

תוכנות זדוניות אחרות המופצות באמצעות זיהומים ב-XWorm כוללות:

• גונב ענן אפל
• תולעת H (VBS RAT)
• לוגר מפתחות נחש
• כורי מטבעות
• תוכנה זדונית טהורה
• ShadowSniff (גונב חלודה, קוד פתוח)
• גונב פנטום
• גנב פמדרון

נסיגות תפעוליות, פיצול ומזלגות חמושים

התפתחותה של XWorm לא הייתה ליניארית. במחצית השנייה של 2024, הפרסונה XCoder מחקה בפתאומיות את נוכחותה בטלגרם, מה שהטיל ספק בעתיד הפרויקט. פער זה, לעומת זאת, הוליד פעילות אופורטוניסטית: חבילות XWorm גרסה 5.6 שנפרצו בעצמן כטרויאנים כדי להדביק גורמי איום אחרים, וקמפיינים של הנדסה חברתית שכוונו ל"ילדי סקריפט" דרך GitHub וערוצים ציבוריים אחרים - קמפיינים שלדעת החוקרים ניסו לפגוע בעשרות אלפי מכשירים (לפי הדיווחים למעלה מ-18,000).

אנליסטים מצאו גם מזלגות שעברו שינוי, כולל גרסה שכותרתה XSPY (מקור מדווח: גרסה בשפה הסינית) וחולשה קריטית של ביצוע קוד מרחוק (RCE) בכמה מבני המערכות שאפשרה למישהו המחזיק במפתח הצפנת C2 לבצע קוד שרירותי על מחשבים מארחים נגועים. הפיצול של ערכת הכלים מקשה על ייחוס והסרה; מוכרים ומזלגות שונים יכולים להופיע ולהיעלם באופן עצמאי.

התחדשות 2025: XWorm 6.0 ופעילות בשוק

ב-4 ביוני 2025, ספק בשם XCoderTools פרסם את גרסה XWorm 6.0 בפורומים בנושא פשעי סייבר במחיר של 500 דולר לגישה לכל החיים, בטענה שהגרסה קודדה מחדש לחלוטין וכי הפגם ב-RCE שדווח בעבר תוקן. לא ברור האם גרסה זו הגיעה מהמחבר המקורי או מצד שלישי הממנפ את המותג XWorm. דגימות XWorm 6.0 שנצפו מוגדרות ליצור קשר עם C2 בכתובת 94.159.113[.]64 בפורט 4411 וליישם את פרוטוקול התוסף שתואר לעיל, מה שמאפשר אספקה מהירה בזיכרון של עשרות מודולי DLL.

שורה תחתונה

מחזור החיים של XWorm - מפיתוח פעיל דרך נטישה ועד הופעתה המחודשת תחת מוכרים חדשים ובניינים פרוצים שעברו פגיעה טרויאנית - הוא תזכורת לכך שתוכנות זדוניות הן מערכת אקולוגית. גם אם מחבר מקורי נעלם, הקוד שלו יכול להיות מפוצל, נשק ופרוס מחדש על ידי אחרים. לכן, על המגנים להתמקד בבקרות ואסטרטגיות גילוי עמידות המניחות כי יריבים ישתמשו מחדש ויארזו מחדש ערכות כלים קיימות.