Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver XWorm 6.0

Zlonamjerni softver XWorm 6.0

Do Mezo. Malware, Crvi. godine
Prevedi na:

Sigurnosni istraživači pratili su XWorm od kompaktnog okvira za udaljeni pristup do visoko modularne platforme koju operateri koriste za pokretanje širokog raspona zlonamjernih operacija na kompromitiranim Windows hostovima. Prvi put označen 2022. i povezan s grupom pomoću nadimka EvilCoder, XWorm su aktivno razvijali i prerađivali pojedinci koji koriste persone XCoder (glavni programer do sredine 2024.) i, u novije vrijeme, prodavači poput XCoderToolsa. Njegova kontinuirana evolucija i ponovna pojava pokazuju koliko se brzo alat može fragmentirati, prepakirati i ponovno ući u prirodu.

Kako je XWorm izgrađen — Jezgra + Dodaci

XWormova arhitektura usredotočena je na malog klijenta koji se povezuje s Command-and-Control (C2) poslužiteljem i veliki skup dodataka koji se učitavaju u memoriju na zahtjev. Dizajn omogućuje operaterima da drže laganog klijenta na hostu dok dinamički preusmjeravaju funkcionalnosti (DLL-ove) za izvršavanje određenih zadataka. Ekosustav projekta također je uključivao pomoćne alate koje promoviraju programeri: .NET alat za izradu zlonamjernog softvera, zaseban RAT pod nazivom XBinder i uslužni program koji pokušava zaobići kontrolu korisničkih računa sustava Windows (UAC). Zajednica programera oko XWorma reklamirala je druge komponente i lažne instalatore (posebno zlonamjerne instalatore ScreenConnect) kao mamce za distribuciju.

Lanci infekcije i tehnike isporuke

Istraživači su primijetili višestruke, promjenjive tijekove rada zaraze za XWorm. Rani lanci oslanjali su se na phishing poruke koje su isporučivale datoteke prečaca sustava Windows (LNK); LNK-ovi su izvršavali PowerShell, koji je ispuštao lažne datoteke (na primjer, bezopasni TXT) i varljivu izvršnu datoteku (obično maskiranu kao Discord) koja je na kraju pokretala pravi teret. Novije kampanje koje distribuiraju obitelj 6.x koristile su zlonamjerne JavaScript priloge u phishing e-porukama koje prikazuju lažni PDF dok izvršavaju pozadinski PowerShell koji ubrizgava XWorm u legitimne procese poput RegSvcs.exe kako bi izbjegli otkrivanje. Akteri prijetnji također su gurali crackirane ili trojanske verzije XWorm komponenti putem GitHub repozitorija, web-mjesta za dijeljenje datoteka, Telegram kanala i YouTubea, pokušavajući prevariti manje vješte operatere da instaliraju backdoor buildere.

Izbjegavanje, daljinsko upravljanje i značajke operatera

XWorm integrira više anti-analitičkih provjera koje prekidaju izvršavanje kada otkriju indikatore virtualizacije ili sandboxa. Nakon što je aktivan, klijent prihvaća naredbe od C2 koje pokrivaju uobičajene RAT operacije (prijenos datoteka, manipulacija procesima i uslugama, izvršavanje naredbi ljuske, otvaranje URL-ova), kontrolu sustava (gašenje/ponovno pokretanje) i agresivnije radnje poput pokretanja DDoS aktivnosti. Modularni model dodatka omogućuje udaljenom operateru pokretanje više od 35 različitih DLL sadržaja u memoriji bez pisanja na disk, što XWormu daje fleksibilnu površinu za napad uz smanjenje forenzičkih tragova.

Protokol isporuke dodataka

XWorm 6.x implementira protokol za dodatak "prvo hashiranje": C2 izdaje naredbu 'plugin' koja sadrži SHA-256 hash traženog DLL-a plus argumente za vrijeme izvođenja. Klijent provjerava je li taj dodatak već pohranjen u predmemoriji; ako ne, zahtijeva datoteku s naredbom 'sendplugin'. Poslužitelj odgovara naredbom 'savePlugin' koja nosi dodatak kao base64 blob i njegov SHA-256 hash. Klijent dekodira blob, provjerava hash i učitava DLL izravno u memoriju za izvršenje.

Značajni dodaci i što rade

  • RemoteDesktop.dll — uspostavlja interaktivnu udaljenu sesiju.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — krađa vjerodajnica i podataka iz OS-a i aplikacija (Windows ključevi, Wi-Fi lozinke, vjerodajnice pohranjene u pregledniku, uključujući zaobilaženje enkripcije vezane uz aplikacije i programe za prikupljanje podataka za FileZillu, Discord, Telegram, MetaMask).
  • FileManager.dll — pristup datotečnom sustavu i manipulacija njime.
  • Shell.dll — skriveno izvršavanje naredbi operatora putem cmd.exe.
  • Informations.dll — otisak prsta hosta/sustava.
  • Webcam.dll — snima slike/videozapise s web kamere kako bi se potvrdila stvarna žrtva.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — nabraja mrežne veze, aktivne prozore i unose za automatsko pokretanje.
  • Ransomware.dll — rutine za šifriranje/dešifriranje datoteka (dijeli kod s ransomwareom u stilu NoCry).
  • Rootkit.dll — instalira modificirani r77 rootkit.
  • ResetSurvival.dll — mijenja Windows registar kako bi preživio određena resetiranja uređaja.

Ostali zlonamjerni softver koji se distribuira putem XWorm infekcija uključuje:

  • Kradljivac tamnih oblaka
  • Hmotski crv (VBS RAT)
  • Snake KeyLogger
  • Rudari kovanica
  • Čisti zlonamjerni softver
  • ShadowSniff (kradljivac hrđe, otvoreni kod)
  • Fantomski kradljivac
  • Kradljivac femedrona
  • Remcos RAT

Operativni zastoji, fragmentacija i naoružane vilice

Razvoj XWorma nije bio linearan. U drugoj polovici 2024. godine, persona XCoder naglo je izbrisala svoju prisutnost na Telegramu, bacajući sumnju na budućnost projekta. Međutim, ta praznina iznjedrila je oportunističku aktivnost: provaljene XWorm v5.6 pakete koji su i sami bili zaraženi trojancima kako bi zarazili druge aktere prijetnji, te kampanje socijalnog inženjeringa usmjerene na "script kiddies" putem GitHuba i drugih javnih kanala - kampanje za koje istraživači procjenjuju da su pokušale kompromitirati desetke tisuća uređaja (navodno preko 18 000).

Analitičari su također pronašli modificirane forkove, uključujući varijantu označenu XSPY (prijavljeno podrijetlo: kineska varijanta) i kritičnu slabost udaljenog izvršavanja koda (RCE) u nekim verzijama koja je omogućila nekome tko posjeduje C2 ključ za šifriranje da izvrši proizvoljni kod na zaraženim hostovima. Fragmentacija alata otežava atribuciju i uklanjanje; različiti prodavači i forkovi mogu se pojaviti i nestati neovisno.

Ponovno pojavljivanje u 2025.: XWorm 6.0 i aktivnost na tržištu

Dana 4. lipnja 2025., dobavljač koji sebe naziva XCoderTools objavio je XWorm 6.0 na forumima o kibernetičkom kriminalu po cijeni od 500 USD za doživotni pristup, tvrdeći da je izdanje potpuno rekodirano i da je prethodno prijavljena RCE greška ispravljena. Nije jasno je li ovo izdanje došlo od izvornog autora ili od treće strane koja koristi marku XWorm. Promatrani uzorci XWorm 6.0 konfigurirani su za kontaktiranje C2 na 94.159.113[.]64 na portu 4411 i implementaciju protokola dodatka opisanog gore, omogućujući brzu isporuku desetaka DLL modula u memoriju.

Zaključak

Životni ciklus XWorma - od aktivnog razvoja preko napuštanja do ponovnog pojavljivanja pod novim prodavačima i trojancima zaraženim krekiranim verzijama - podsjetnik je da je zlonamjerni softver ekosustav. Čak i ako izvorni autor nestane, njegov kod mogu pretvoriti u oružje i ponovno ga primijeniti drugi. Branitelji se stoga moraju usredotočiti na otporne kontrole i strategije otkrivanja koje pretpostavljaju da će protivnici ponovno koristiti i prepakirati postojeće skupove alata.

U trendu

Verzija vašeg poštanskog sandučića bit će ukinuta -...

Krađa identiteta, Spam
Online prevaranti neprestano razvijaju nove trikove kako bi prevarili korisnike i ukrali vrijedne podatke. Jedan takav primjer je prijevara 'Verzija vašeg poštanskog sandučića bit će ukinuta', phishing kampanja osmišljena za prikupljanje prijavnih podataka od ništa ne slutećih žrtava. Stručnjaci za kibernetičku sigurnost upozoravaju da ove lažne poruke nisu povezane s legitimnim tvrtkama,...

Nagledanije

Učitavam...