Ponuda s popustom na više licenci
Baza prijetnji Malware XWorm RAT

XWorm RAT

Do Mezo. Malware, Alati za udaljenu administraciju, kradljivci. godine
Prevedi na:

Karta prijetnji

Popularity Rank: 4,582
Razina prijetnje: 80 % (Visoko)
Zaražena računala: 353
Prvi put viđeno: April 24, 2023
Zadnje viđeno: April 8, 2026
Pogođeni OS: Windows

Zlonamjerni softver XWorm identificiran je kao prijetnja iz kategorije Trojanac s daljinskim pristupom (RAT). RAT-ovi su posebno dizajnirani kako bi cyber kriminalcima omogućili neovlašteni pristup i kontrolu nad žrtvinim računalom. Korištenjem RAT-ova napadači mogu daljinski nadzirati i promatrati aktivnosti korisnika, ukrasti osjetljive podatke i izvršiti širok raspon zlonamjernih operacija na kompromitiranom sustavu, ovisno o njihovim specifičnim ciljevima. Prema istraživačima, XWorm RAT je ponuđen na prodaju od strane njegovih programera po cijeni od 400 dolara.

XWorm RAT može ukrasti širok raspon osjetljivih informacija

XWorm RAT posjeduje opsežan niz mogućnosti koje ga čine visoko sofisticiranom i opasnom prijetnjom u rukama kibernetičkih kriminalaca. Jedna od njegovih primarnih funkcionalnosti je mogućnost krađe vrijednih informacija o sustavu sa žrtvinog računala. RAT može ukrasti osjetljive podatke iz popularnih preglednika. XWorm može izdvojiti lozinke, kolačiće, detalje kreditne kartice, oznake, preuzimanja, ključne riječi i povijest pregledavanja iz Chromium preglednika. Slično tome, može ukrasti lozinke, kolačiće, oznake i povijest iz preglednika Firefox, uvelike ugrožavajući sigurnost mrežnih aktivnosti žrtve.

Štoviše, mogućnosti XWorma obuhvaćaju ciljanje različitih aplikacija i usluga. Može ukrasti podatke Telegram sesije, Discord tokene, WiFi lozinke, Metamask i FileZilla podatke. Osim toga, XWorm može pristupiti uređivaču registra, bilježiti pritiske tipki, pokretati ransomware za šifriranje datoteka i zahtijevati otkupninu te manipulirati podacima međuspremnika, uslugama i procesima.

Osim krađe informacija, XWorm ima mogućnost pokretanja datoteka, dajući napadačima moć pokretanja raznih zlonamjernih programa i sadržaja na kompromitiranom sustavu. Osim toga, trojanac može dobiti neovlašteni pristup žrtvinoj web-kameri i mikrofonu, što predstavlja značajnu invaziju na privatnost i omogućuje napadačima da nadziru žrtvine aktivnosti. Doseg XWorma širi se čak i dalje jer može otvarati URL-ove, izvršavati naredbe ljuske i upravljati datotekama, učinkovito dajući napadačima potpunu kontrolu nad žrtvinim računalom.

Napadači čak mogu koristiti XWorm za omogućavanje ili onemogućavanje kritičnih komponenti sustava i značajki kao što su kontrola korisničkog računa (UAC), uređivač registra, upravitelj zadataka, vatrozid i ažuriranja sustava. Sposobnost pozivanja Plavog ekrana smrti (BSoD) dodaje još jedan sloj poremećaja i potencijalne štete žrtvinom sustavu.

XWorm RAT mogao bi se koristiti za isporuku korisnih sadržaja Ransomwarea na oštećenim uređajima

Jedna značajna sposobnost XWorma je njegova sposobnost provođenja napada ransomwarea. Ransomware prijeti softveru koji šifrira datoteke, čineći ih nedostupnima bez određenog ključa za dešifriranje. Nakon toga, operateri XWorma mogu zahtijevati plaćanje od žrtve u zamjenu za pružanje potrebnog softvera za dešifriranje kako bi ponovno dobili pristup šifriranim datotekama.

Osim toga, primijećeno je da kibernetički kriminalci koriste XWorm za otmicu međuspremnika. Ova tehnika uključuje praćenje zlonamjernog softvera i presretanje podataka kopiranih u međuspremnik žrtve, s posebnim fokusom na zamjenu adresa novčanika kriptovalute. Na primjer, ako žrtva kopira adresu novčanika Bitcoina, Ethereuma ili druge kriptovalute, XWorm detektira podatke i zamjenjuje ih adresom novčanika u vlasništvu kibernetičkih kriminalaca. Posljedično, žrtve nesvjesno šalju svoja sredstva u hakerski novčanik umjesto na željenu adresu primatelja.

Širok raspon zloćudnih mogućnosti uočenih u XWorm RAT-u također uključuje funkcionalnost keylogginga. Keylogging uključuje štetan proces tajnog hvatanja i snimanja svih unosa s tipkovnice koje korisnik izvrši na zaraženom sustavu. To znači da se lozinke, vjerodajnice za prijavu, osjetljive poruke i drugi osobni podaci potajno snimaju i prenose na napadačev Command and Control server.

Izvješće o analizi

Opće informacije

Family Name: Keylogger.XWormRAT
Signature status: Self Signed

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Veličina datoteke: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Veličina datoteke: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Veličina datoteke: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Veličina datoteke: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Veličina datoteke: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Veličina datoteke: 265.73 KB, 265728 bytes
MD5: 65d0a7755d74384f5055dd3b6af0cc4d
SHA1: 4c5fc802b2fd21968cd23e8ccf670f047b2d886e
SHA256: 6CCF676F2A8A079838085894C8039408F5E463663AD880A64EEB933A7C927449
Veličina datoteke: 11.78 KB, 11776 bytes
MD5: 60631806cffc9ef3b048d4d52b06fdb5
SHA1: ab2f4dddb861207328134ed450c90def1b15f638
SHA256: 0957B6708D693848F3C9D4544DE95E044BE691670E83B199157CA87A398BEC49
Veličina datoteke: 40.96 KB, 40960 bytes
MD5: 7800b8cc29632ba356e56836453e84fa
SHA1: 6b6daa1115657576393bb302ad0abd590f9d7549
SHA256: 51AA320823FE8A588EF618EECE24DC71F7DAE3B4B8A88E5E6C69F2BEA09CAD88
Veličina datoteke: 2.91 MB, 2908304 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Ime Vrijednost
Assembly Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Company Name
  • Synaptics
  • www.UnlockClient.co
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
File Version
  • 1.0.0.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Internal Name
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
  • www.UnlockClient.co
Original Filename
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
Product Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0

Digital Signatures

Signer Root Status
UnlockClient.co UnlockClient.co Self Signed

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 3
Potentially Malicious Blocks: 0
Whitelisted Blocks: 3
Unknown Blocks: 0

Visual Map

0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.LD
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
Show More
  • MSIL.Kryptik.AR
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Podaci API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

U trendu

Prijevara putem e-pošte s uslugom "Vaš oblak je...

Krađa identiteta, Spam
Neočekivane e-poruke, posebno one koje izazivaju hitnost ili zabrinutost, uvijek treba tretirati s oprezom. Kibernetički kriminalci često prikrivaju lažne poruke kao legitimne obavijesti kako bi prevarili primatelje da poduzmu štetne radnje. Važno je naglasiti da prijevare poput e-poruka 'Vaš oblak je onemogućen' nisu povezane s legitimnim tvrtkama, organizacijama ili pružateljima usluga. Što...

Nagledanije

Učitavam...