Preventivo sconto multi-licenza
Database delle minacce Malware Malware XWorm 6.0

Malware XWorm 6.0

Entro Mezo nel Malware, Vermi
Traduci in:

I ricercatori di sicurezza hanno ricostruito XWorm da un framework compatto di accesso remoto a una piattaforma altamente modulare utilizzata dagli operatori per eseguire un'ampia gamma di operazioni dannose su host Windows compromessi. Segnalato per la prima volta nel 2022 e collegato a un gruppo che utilizza l'account EvilCoder, XWorm è stato attivamente sviluppato e rielaborato da individui che utilizzano le identità XCoder (sviluppatore principale fino a metà del 2024) e, più recentemente, da venditori come XCoderTools. La sua continua evoluzione e ricomparsa dimostrano la rapidità con cui uno strumento può frammentarsi, essere riconfezionato e ricomparire in natura.

Come è costruito XWorm: Core + Plugin

L'architettura di XWorm si basa su un piccolo client che si collega a un server di Comando e Controllo (C2) e a un ampio set di payload plug-in che vengono caricati in memoria su richiesta. Il design consente agli operatori di mantenere il client leggero su un host, mentre caricano dinamicamente funzionalità (DLL) per eseguire attività specifiche. L'ecosistema del progetto include anche strumenti ausiliari promossi dagli sviluppatori: un generatore di malware .NET, un RAT separato chiamato XBinder e un'utilità che tenta di aggirare il Controllo dell'account utente (UAC) di Windows. La comunità di sviluppatori di XWorm ha pubblicizzato altri componenti e falsi installer (in particolare installer ScreenConnect dannosi) come esche per la distribuzione.

Catene di infezione e tecniche di trasmissione

I ricercatori hanno osservato molteplici flussi di lavoro di infezione mutevoli per XWorm. Le prime catene si basavano su messaggi di phishing che recapitavano file di collegamento di Windows (LNK); gli LNK eseguivano PowerShell, che rilasciava file esca (ad esempio, un innocuo TXT) e un eseguibile ingannevole (comunemente mascherato da Discord) che alla fine lanciava il vero payload. Campagne più recenti che distribuivano la famiglia 6.x hanno utilizzato allegati JavaScript dannosi in email di phishing che visualizzavano un PDF esca durante l'esecuzione in background di PowerShell che iniettava XWorm in processi legittimi come RegSvcs.exe per evitare il rilevamento. Gli autori delle minacce hanno anche distribuito versioni craccate o trojanizzate dei componenti di XWorm attraverso repository GitHub, siti di file sharing, canali Telegram e YouTube, nel tentativo di indurre gli operatori meno esperti a installare sviluppatori con backdoor.

Evasione, controllo remoto e funzionalità dell’operatore

XWorm integra molteplici controlli anti-analisi che interrompono l'esecuzione quando rileva indicatori di virtualizzazione o sandbox. Una volta attivo, il client accetta comandi dal C2 che coprono le operazioni RAT più comuni (trasferimento di file, manipolazione di processi e servizi, esecuzione di comandi shell, apertura di URL), il controllo del sistema (arresto/riavvio) e azioni più aggressive come l'avvio di attività DDoS. Il modello modulare del plugin consente a un operatore remoto di eseguire più di 35 diversi payload DLL in memoria senza scriverli su disco, offrendo a XWorm una superficie di attacco flessibile e riducendo al contempo le tracce forensi.

Protocollo di distribuzione del plugin

XWorm 6.x implementa un protocollo di plugin hash-first: il C2 emette un comando "plugin" che contiene l'hash SHA-256 della DLL richiesta più gli argomenti di runtime. Il client verifica se il plugin è già memorizzato nella cache; in caso contrario, richiede il file con "sendplugin". Il server risponde con un comando "savePlugin" che trasporta il plugin come blob base64 e il suo hash SHA-256. Il client decodifica il blob, verifica l'hash e carica la DLL direttamente in memoria per l'esecuzione.

Plugin degni di nota e cosa fanno

  • RemoteDesktop.dll — stabilisce una sessione remota interattiva.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll: furto di credenziali e dati dal sistema operativo e dalle applicazioni (chiavi Windows, password Wi-Fi, credenziali memorizzate nel browser, inclusi bypass per la crittografia associata alle app e harvester per FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll: accesso e manipolazione del file system.
  • Shell.dll: esecuzione nascosta dei comandi dell'operatore tramite cmd.exe.
  • Informations.dll — impronte digitali host/sistema.
  • Webcam.dll: cattura immagini/video della webcam per confermare la reale identità della vittima.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll: enumerano le connessioni di rete, le finestre attive e le voci di avvio automatico.
  • Ransomware.dll: routine di crittografia/decrittografia dei file (condivide il codice con il ransomware in stile NoCry).
  • Rootkit.dll — installa un rootkit r77 modificato.
  • ResetSurvival.dll — modifica il Registro di sistema di Windows per sopravvivere a determinati ripristini del dispositivo.

Altri malware distribuiti tramite infezioni XWorm includono:

  • Ladro di Nuvola Oscura
  • Verme (VBS RAT)
  • Snake KeyLogger
  • Minatori di monete
  • Malware puro
  • ShadowSniff (antiruggine, open source)
  • Ladro Fantasma
  • Ladro di femedrone
  • Remcos RAT

Insuccessi operativi, frammentazione e fork armati

Lo sviluppo di XWorm non è stato lineare. Nella seconda metà del 2024, il personaggio XCoder ha improvvisamente cancellato la sua presenza su Telegram, mettendo in dubbio il futuro del progetto. Questa lacuna, tuttavia, ha generato attività opportunistiche: pacchetti XWorm v5.6 craccati, a loro volta trojanizzati per infettare altri autori di minacce, e campagne di ingegneria sociale che hanno preso di mira gli "script kiddie" tramite GitHub e altri canali pubblici – campagne che i ricercatori stimano abbiano tentato di compromettere decine di migliaia di dispositivi (oltre 18.000).

Gli analisti hanno anche trovato fork modificati, tra cui una variante denominata XSPY (di origine segnalata: variante in lingua cinese) e una vulnerabilità critica nell'esecuzione di codice remoto (RCE) in alcune build che consentiva a chiunque possedesse la chiave di crittografia C2 di eseguire codice arbitrario su host infetti. La frammentazione del toolkit rende più difficili l'attribuzione e la rimozione; diversi venditori e fork possono apparire e scomparire in modo indipendente.

La riemersione del 2025: XWorm 6.0 e l’attività del Marketplace

Il 4 giugno 2025, un fornitore che si autodefinisce XCoderTools ha pubblicato XWorm 6.0 sui forum dedicati alla criminalità informatica al prezzo di 500 dollari per l'accesso illimitato, sostenendo che la versione era stata completamente riprogrammata e che il difetto RCE precedentemente segnalato era stato corretto. Non è chiaro se questa versione provenga dall'autore originale o da una terza parte che sfrutta il marchio XWorm. Gli esempi di XWorm 6.0 osservati sono configurati per contattare un C2 all'indirizzo 94.159.113[.]64 sulla porta 4411 e implementare il protocollo plugin descritto sopra, consentendo la distribuzione rapida in memoria di decine di moduli DLL.

Conclusione

Il ciclo di vita di XWorm – dallo sviluppo attivo all'abbandono, fino alla ricomparsa sotto nuovi venditori e build craccate e trojanizzate – ci ricorda che il malware è un ecosistema. Anche se un autore originale scompare, il suo codice può essere biforcato, trasformato in un'arma e ridistribuito da altri. I difensori devono quindi concentrarsi su controlli resilienti e strategie di rilevamento che presuppongono che gli avversari riutilizzino e riorganizzino i set di strumenti esistenti.

Tendenza

I più visti

Caricamento in corso...