XWorm 6.0 मैलवेयर

सुरक्षा शोधकर्ताओं ने एक्सवर्म को एक कॉम्पैक्ट रिमोट-एक्सेस फ्रेमवर्क से एक अत्यधिक मॉड्यूलर प्लेटफ़ॉर्म में बदल दिया है जिसका उपयोग ऑपरेटर्स हैक किए गए विंडोज होस्ट्स पर कई तरह के दुर्भावनापूर्ण ऑपरेशन चलाने के लिए करते हैं। 2022 में पहली बार चिह्नित और EvilCoder नामक एक समूह से जुड़े एक्सवर्म को एक्सकोडर (2024 के मध्य तक प्रमुख डेवलपर) और हाल ही में, XCoderTools जैसे विक्रेताओं द्वारा सक्रिय रूप से विकसित और पुनर्परिभाषित किया गया है। इसका निरंतर विकास और पुनःप्रकटीकरण यह दर्शाता है कि एक टूल कितनी जल्दी खंडित हो सकता है, पुनःपैक किया जा सकता है, और फिर से बाज़ार में आ सकता है।

XWorm कैसे बनाया गया है — कोर + प्लगइन्स

XWorm की संरचना एक छोटे क्लाइंट पर केंद्रित है जो कमांड-एंड-कंट्रोल (C2) सर्वर और प्लग-इन पेलोड के एक बड़े सेट तक पहुँचता है, जिन्हें माँग पर मेमोरी में लोड किया जाता है। यह डिज़ाइन ऑपरेटरों को हल्के क्लाइंट को होस्ट पर रखने की अनुमति देता है जबकि विशिष्ट कार्यों को करने के लिए गतिशील रूप से कार्यक्षमता (DLL) को पुश करता है। परियोजना के पारिस्थितिकी तंत्र में डेवलपर्स द्वारा प्रचारित सहायक उपकरण भी शामिल हैं: एक .NET मैलवेयर बिल्डर, XBinder नामक एक अलग RAT, और एक उपयोगिता जो विंडोज यूजर अकाउंट कंट्रोल (UAC) को बायपास करने का प्रयास करती है। XWorm के आसपास के डेवलपर समुदाय ने वितरण के लिए अन्य घटकों और नकली इंस्टॉलरों (विशेष रूप से दुर्भावनापूर्ण ScreenConnect इंस्टॉलर) का विज्ञापन किया है।

संक्रमण श्रृंखलाएँ और वितरण तकनीकें

शोधकर्ताओं ने XWorm के लिए कई, बदलते संक्रमण वर्कफ़्लो देखे हैं। शुरुआती श्रृंखलाएँ फ़िशिंग संदेशों पर निर्भर थीं जो विंडोज़ शॉर्टकट (LNK) फ़ाइलें वितरित करते थे; LNK PowerShell चलाते थे, जो नकली फ़ाइलें (उदाहरण के लिए, एक हानिरहित TXT) और एक भ्रामक निष्पादन योग्य (आमतौर पर Discord के रूप में प्रच्छन्न) छोड़ देता था जो अंततः वास्तविक पेलोड लॉन्च करता था। 6.x परिवार को वितरित करने वाले हाल के अभियानों ने फ़िशिंग ईमेल में दुर्भावनापूर्ण JavaScript अनुलग्नकों का उपयोग किया है जो एक नकली PDF प्रदर्शित करते हैं जबकि पृष्ठभूमि PowerShell निष्पादित करते हैं जो XWorm को RegSvcs.exe जैसी वैध प्रक्रियाओं में इंजेक्ट करता है ताकि पता न चले। धमकी देने वाले अभिनेताओं ने GitHub रिपॉजिटरी, फ़ाइल-साझाकरण साइटों, टेलीग्राम चैनलों और YouTube के माध्यम से XWorm घटकों के क्रैक या ट्रोजनकृत संस्करण भी भेजे हैं, कम कुशल ऑपरेटरों को बैकडोर बिल्डर्स स्थापित करने के लिए धोखा देने का प्रयास किया है।

चोरी, रिमोट कंट्रोल, और ऑपरेटर सुविधाएँ

XWorm कई एंटी-एनालिसिस जाँचों को एकीकृत करता है जो वर्चुअलाइज़ेशन या सैंडबॉक्स संकेतकों का पता चलने पर निष्पादन को रोक देते हैं। सक्रिय होने पर, क्लाइंट C2 से कमांड स्वीकार करता है जो सामान्य RAT संचालन (फ़ाइल स्थानांतरण, प्रक्रिया और सेवा हेरफेर, शेल कमांड निष्पादित करना, URL खोलना), सिस्टम नियंत्रण (शटडाउन/पुनरारंभ), और DDoS गतिविधि शुरू करने जैसी अधिक आक्रामक क्रियाओं को कवर करते हैं। मॉड्यूलर प्लगइन मॉडल एक दूरस्थ ऑपरेटर को डिस्क पर लिखे बिना मेमोरी में 35 से अधिक विभिन्न DLL पेलोड चलाने की सुविधा देता है, जिससे XWorm को एक लचीला आक्रमण क्षेत्र मिलता है और साथ ही फोरेंसिक ट्रेस भी कम होते हैं।

प्लगइन डिलीवरी प्रोटोकॉल

XWorm 6.x एक हैश-फर्स्ट प्लगइन प्रोटोकॉल लागू करता है: C2 एक 'प्लगइन' कमांड जारी करता है जिसमें अनुरोधित DLL का SHA-256 हैश और रनटाइम तर्क शामिल होते हैं। क्लाइंट जाँचता है कि क्या वह प्लगइन पहले से कैश्ड है; यदि नहीं, तो वह 'sendplugin' के साथ फ़ाइल का अनुरोध करता है। सर्वर एक 'savePlugin' कमांड के साथ उत्तर देता है जिसमें प्लगइन एक बेस64 ब्लॉब और उसके SHA-256 हैश के रूप में होता है। क्लाइंट ब्लॉब को डिकोड करता है, हैश की पुष्टि करता है, और DLL को निष्पादन के लिए सीधे मेमोरी में लोड करता है।

उल्लेखनीय प्लगइन्स और वे क्या करते हैं

• RemoteDesktop.dll — एक इंटरैक्टिव रिमोट सत्र स्थापित करता है।
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll - ओएस और अनुप्रयोगों से क्रेडेंशियल और डेटा चोरी (विंडोज कुंजी, वाई-फाई पासवर्ड, ब्राउज़र-संग्रहीत क्रेडेंशियल, ऐप-बाउंड एन्क्रिप्शन के लिए बाईपास और फाइलज़िला, डिस्कॉर्ड, टेलीग्राम, मेटामास्क के लिए हार्वेस्टर सहित)।
• FileManager.dll — फ़ाइल सिस्टम तक पहुंच और हेरफेर.
• Shell.dll - cmd.exe के माध्यम से ऑपरेटर कमांड का छिपा हुआ निष्पादन।
• Informations.dll - होस्ट/सिस्टम फिंगरप्रिंटिंग.
• Webcam.dll - वास्तविक शिकार की पुष्टि करने के लिए वेबकैम चित्र/वीडियो कैप्चर करता है।
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — नेटवर्क कनेक्शन, सक्रिय विंडोज़ और ऑटोस्टार्ट प्रविष्टियों की गणना करता है।
• Ransomware.dll - फ़ाइल एन्क्रिप्शन/डिक्रिप्शन रूटीन (NoCry-शैली रैनसमवेयर के साथ कोड साझा करता है)।
• Rootkit.dll — एक संशोधित r77 रूटकिट स्थापित करता है।
• ResetSurvival.dll — कुछ डिवाइस रीसेट को झेलने के लिए विंडोज रजिस्ट्री को संशोधित करता है।

XWorm संक्रमण के माध्यम से वितरित अन्य मैलवेयर में शामिल हैं:

• डार्कक्लाउड चोर
• एचवर्म (वीबीएस आरएटी)
• स्नेक कीलॉगर
• सिक्का खनिक
• शुद्ध मैलवेयर
• शैडोस्निफ़ (रस्ट चुराने वाला, ओपन-सोर्स)
• प्रेत चोर
• फेमेड्रोन चोर

• रेमकोस आरएटी

परिचालन संबंधी असफलताएँ, विखंडन, और हथियारबंद कांटे

एक्सवर्म का विकास एक रेखीय प्रक्रिया नहीं रहा है। 2024 की दूसरी छमाही में, एक्सकोडर नाम के व्यक्ति ने अचानक टेलीग्राम से अपनी उपस्थिति हटा दी, जिससे परियोजना के भविष्य पर संदेह पैदा हो गया। हालाँकि, इस अंतराल ने अवसरवादी गतिविधियों को जन्म दिया: क्रैक किए गए एक्सवर्म v5.6 पैकेज जो स्वयं अन्य ख़तरनाक कारकों को संक्रमित करने के लिए ट्रोजनाइज़ किए गए थे, और GitHub और अन्य सार्वजनिक चैनलों के माध्यम से 'स्क्रिप्ट किड्स' को लक्षित करने वाले सोशल इंजीनियरिंग अभियान - ऐसे अभियान जिनके बारे में शोधकर्ताओं का अनुमान है कि उन्होंने हज़ारों उपकरणों (कथित तौर पर 18,000 से ज़्यादा) को खतरे में डालने का प्रयास किया।

विश्लेषकों ने कुछ बिल्ड में संशोधित फ़ॉर्क्स भी पाए, जिनमें XSPY (कथित उत्पत्ति: चीनी भाषा का संस्करण) नामक एक संस्करण और एक महत्वपूर्ण रिमोट कोड निष्पादन (RCE) कमज़ोरी शामिल थी, जिससे C2 एन्क्रिप्शन कुंजी रखने वाला कोई भी व्यक्ति संक्रमित होस्ट पर मनमाना कोड निष्पादित कर सकता था। टूलकिट के विखंडन से एट्रिब्यूशन और टेकडाउन अधिक कठिन हो जाते हैं; विभिन्न विक्रेता और फ़ॉर्क स्वतंत्र रूप से प्रकट और गायब हो सकते हैं।

2025 का पुनरुत्थान: XWorm 6.0 और बाज़ार गतिविधि

4 जून, 2025 को, खुद को XCoderTools कहने वाले एक विक्रेता ने साइबर अपराध मंचों पर XWorm 6.0 को आजीवन एक्सेस के लिए $500 की कीमत पर पोस्ट किया। दावा किया गया कि इस रिलीज़ को पूरी तरह से री-कोड किया गया है और पहले बताई गई RCE खामी को ठीक कर दिया गया है। यह स्पष्ट नहीं है कि यह रिलीज़ मूल लेखक की ओर से आई है या XWorm ब्रांड का लाभ उठाने वाले किसी तीसरे पक्ष की ओर से। देखे गए XWorm 6.0 नमूने पोर्ट 4411 पर 94.159.113[.]64 पर C2 से संपर्क करने और ऊपर वर्णित प्लगइन प्रोटोकॉल को लागू करने के लिए कॉन्फ़िगर किए गए हैं, जिससे दर्जनों DLL मॉड्यूल की तेज़, इन-मेमोरी डिलीवरी संभव हो पाती है।

जमीनी स्तर

एक्सवर्म का जीवन चक्र—सक्रिय विकास से लेकर परित्याग और नए विक्रेताओं और ट्रोजन-आधारित क्रैक्ड बिल्ड के तहत पुनः प्रकट होने तक—यह याद दिलाता है कि मैलवेयर एक पारिस्थितिकी तंत्र है। भले ही कोई मूल लेखक गायब हो जाए, उसके कोड को दूसरों द्वारा फोर्क, हथियारीकृत और पुनः नियोजित किया जा सकता है। इसलिए, प्रतिरक्षकों को ऐसे लचीले नियंत्रणों और पहचान रणनीतियों पर ध्यान केंद्रित करना चाहिए जो यह मानकर चलें कि विरोधी मौजूदा टूलसेट का पुन: उपयोग और पुनः पैकेजिंग करेंगे।