Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa XWorm 6.0 kenkėjiška programa

XWorm 6.0 kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Kirmėlės
Versti į:

Saugumo tyrėjai atsekė „XWorm“ iš kompaktiškos nuotolinės prieigos sistemos į labai modulinę platformą, kurią operatoriai naudoja įvairioms kenkėjiškoms operacijoms vykdyti pažeistuose „Windows“ kompiuteriuose. Pirmą kartą pastebėtas 2022 m. ir susietas su grupe naudojant slapyvardį „EvilCoder“, „XWorm“ buvo aktyviai kuriamas ir perdirbamas asmenų, naudojančių personas „XCoder“ (pagrindinis kūrėjas iki 2024 m. vidurio), ir, pastaruoju metu, tokių pardavėjų kaip „XCoderTools“. Nuolatinė jo evoliucija ir sugrįžimas rodo, kaip greitai įrankis gali būti fragmentuojamas, perpakuotas ir vėl patekęs į rinką.

Kaip sukurtas „XWorm“ – branduolys + papildiniai

„XWorm“ architektūros centre – mažas klientas, kuris jungiasi prie „Command-and-Control“ (C2) serverio, ir didelis įskiepių, kurie pagal poreikį įkeliami į atmintį, rinkinys. Ši konstrukcija leidžia operatoriams laikyti lengvą klientą pagrindiniame kompiuteryje, dinamiškai diegiant funkcionalumą (DLL) konkrečioms užduotims atlikti. Projekto ekosistemoje taip pat yra kūrėjų reklamuojami pagalbiniai įrankiai: .NET kenkėjiškų programų kūrimo priemonė, atskira RAT priemonė, vadinama „XBinder“, ir programa, kuri bando apeiti „Windows“ vartotojo abonemento kontrolę (UAC). „XWorm“ kūrėjų bendruomenė reklamuoja kitus komponentus ir netikrus diegimo programas (ypač kenkėjiškas „ScreenConnect“ diegimo programas) kaip platinimo masalus.

Infekcijos grandinės ir perdavimo būdai

Tyrėjai pastebėjo daugybę besikeičiančių „XWorm“ užkrėtimo darbo eigų. Ankstyvosios grandinės rėmėsi sukčiavimo pranešimais, kurie pristatydavo „Windows“ nuorodų (LNK) failus; LNK vykdė „PowerShell“, kuris išskleidė masalo failus (pavyzdžiui, nekenksmingą TXT) ir apgaulingą vykdomąjį failą (dažniausiai maskuojamą kaip „Discord“), kuris galiausiai paleido tikrąjį paketą. Naujesnėse kampanijose, platinančiose 6.x šeimą, sukčiavimo el. laiškuose buvo naudojami kenkėjiški „JavaScript“ priedai, kuriuose rodomas masalo PDF failas, o fone vykdomas „PowerShell“, kuris įterpia „XWorm“ į teisėtus procesus, tokius kaip „RegSvcs.exe“, kad būtų išvengta aptikimo. Grėsmių kūrėjai taip pat platino nulaužtas arba Trojos arklio užkrėstas „XWorm“ komponentų versijas per „GitHub“ saugyklas, failų bendrinimo svetaines, „Telegram“ kanalus ir „YouTube“, bandydami apgauti mažiau kvalifikuotus operatorius, kad šie įdiegtų slaptus kūrimo įrankius.

Išsisukimo, nuotolinio valdymo ir operatoriaus funkcijos

„XWorm“ integruoja kelis antianalizės patikrinimus, kurie nutraukia vykdymą, kai aptinka virtualizacijos arba smėlio dėžės indikatorius. Kai programa tampa aktyvi, klientas iš C2 priima komandas, apimančias įprastas RAT operacijas (failų perdavimas, procesų ir paslaugų manipuliavimas, apvalkalo komandų vykdymas, URL atidarymas), sistemos valdymą (išjungimas / paleidimas iš naujo) ir agresyvesnius veiksmus, pvz., DDoS veiklos paleidimą. Modulinis įskiepio modelis leidžia nuotoliniam operatoriui paleisti daugiau nei 35 skirtingus DLL paketus atmintyje jų neįrašant į diską, suteikdamas „XWorm“ lanksčią atakų platformą ir sumažindamas teismo ekspertizės pėdsakų skaičių.

Įskiepio pristatymo protokolas

„XWorm 6.x“ įgyvendina maišos pagrindu veikiančią įskiepio protokolą: C2 išduoda „įskiepio“ komandą, kurioje yra prašomo DLL SHA‑256 maiša ir vykdymo laiko argumentai. Klientas patikrina, ar tas įskiepis jau yra talpykloje; jei ne, jis prašo failo su „sendplugin“. Serveris atsako komanda „savePlugin“, kurioje yra įskiepis kaip base64 „blob“ ir jo SHA‑256 maiša. Klientas dekoduoja „blob“, patikrina maišą ir įkelia DLL tiesiai į atmintį vykdymui.

Žymūs papildiniai ir jų veikimas

  • RemoteDesktop.dll – užmezga interaktyvią nuotolinę sesiją.
  • „WindowsUpdate.dll“, „Stealer.dll“, „Recovery.dll“, „merged.dll“, „Chromium.dll“, „SystemCheck.Merged.dll“ – kredencialų ir duomenų vagystė iš OS ir programų („Windows“ raktai, „Wi-Fi“ slaptažodžiai, naršyklėje saugomi kredencialai, įskaitant programoms skirto šifravimo apėjimus ir „FileZilla“, „Discord“, „Telegram“, „MetaMask“ rinkiklius).
  • FileManager.dll – prieiga prie failų sistemos ir jos valdymas.
  • Shell.dll – paslėptas operatoriaus komandų vykdymas per cmd.exe.
  • Informations.dll – pagrindinio kompiuterio/sistemos pirštų atspaudų nuskaitymas.
  • Webcam.dll – fiksuoja internetinės kameros vaizdus / vaizdo įrašus, kad patvirtintų tikrą auką.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – išvardija tinklo ryšius, aktyvius langus ir automatinio paleidimo įrašus.
  • „Ransomware.dll“ – failų šifravimo / iššifravimo procedūros (bendrina kodą su „NoCry“ tipo išpirkos reikalaujančia programa).
  • Rootkit.dll – įdiegia modifikuotą r77 rootkit.
  • ResetSurvival.dll – modifikuoja „Windows“ registrą, kad jis išliktų po tam tikrų įrenginių nustatymų atkūrimo.

Kitos kenkėjiškos programos, platinamos per XWorm infekcijas, yra šios:

  • „DarkCloud“ vagys
  • Hworm (VBS RAT)
  • Gyvatės klavišų kaupiklis
  • Monetų kasėjai
  • Grynas kenkėjiškas programinis paketas
  • „ShadowSniff“ (rūdžių vagis, atvirojo kodo)
  • Fantomo vagis
  • Phemedrono vagis
  • Remcos RAT

Operatyviniai nesėkmės, susiskaldymas ir ginkluotos šakės

„XWorm“ kūrimas nebuvo linijinis. 2024 m. antroje pusėje persona „XCoder“ staiga ištrynė savo paskyrą „Telegram“ platformoje, sukeldamas abejonių dėl projekto ateities. Tačiau ši spraga paskatino oportunistinę veiklą: nulaužė „XWorm v5.6“ paketus, kurie patys buvo užkrėsti Trojos arkliais, kad užkrėstų kitus grėsmių subjektus, ir socialinės inžinerijos kampanijas, nukreiptas prieš „skriptų vaikus“ per „GitHub“ ir kitus viešuosius kanalus. Tyrėjų vertinimu, šiomis kampanijomis buvo bandoma užkrėsti dešimtis tūkstančių įrenginių (pranešama, kad jų yra daugiau nei 18 000).

Analitikai taip pat aptiko modifikuotų atšakų, įskaitant variantą, pažymėtą XSPY (pranešta kilmė: kinų kalbos variantas), ir kritinį nuotolinio kodo vykdymo (RCE) trūkumą kai kuriose versijose, kuris leido asmeniui, turinčiam C2 šifravimo raktą, vykdyti savavališką kodą užkrėstuose kompiuteriuose. Įrankių rinkinio fragmentacija apsunkina priskyrimą ir pašalinimą; skirtingi pardavėjai ir atšakos gali atsirasti ir išnykti nepriklausomai vienas nuo kito.

2025 m. atnaujinimas: „XWorm 6.0“ ir prekyvietės aktyvumas

2025 m. birželio 4 d. pardavėjas, pasivadinęs „XCoderTools“, kibernetinių nusikaltimų forumuose paskelbė „XWorm 6.0“, kurio viso gyvenimo prieiga kainuoja 500 USD, teigdamas, kad leidimas buvo visiškai perkoduotas ir kad anksčiau praneštas RCE trūkumas buvo ištaisytas. Neaišku, ar šį leidimą išleido originalus autorius, ar trečioji šalis, naudojanti „XWorm“ prekės ženklą. Stebėti „XWorm 6.0“ pavyzdžiai sukonfigūruoti taip, kad susisiektų su C2 adresu 94.159.113[.]64 per 4411 prievadą ir įdiegtų aukščiau aprašytą papildinio protokolą, leidžiantį greitai atmintyje pateikti dešimtis DLL modulių.

Esmė

„XWorm“ gyvavimo ciklas – nuo aktyvaus kūrimo iki nutraukimo ir pakartotinio pasirodymo su naujais pardavėjais bei Trojos arklio užkrėstomis nulaužtomis versijomis – primena, kad kenkėjiška programa yra ekosistema. Net jei originalus autorius dingsta, jo kodą gali sukurti kiti, paversti ginklu ir iš naujo dislokuoti kiti. Todėl gynėjai turi sutelkti dėmesį į atsparias kontrolės priemones ir aptikimo strategijas, kurios numato, kad priešininkai pakartotinai naudos ir perpakuos esamus įrankių rinkinius.

Tendencijos

Jūsų pašto dėžutės versija bus nutraukta (suktybė)

Sukčiavimas, Šlamštas
Internetiniai sukčiai nuolat kuria naujus triukus, kaip apgauti vartotojus ir pavogti vertingus duomenis. Vienas iš tokių pavyzdžių yra sukčiavimo kampanija „Jūsų pašto dėžutės versija bus nutraukta“ (angl. Version Of Your Mailbox Will Be Continued) – tai sukčiavimo kampanija, skirta išgauti prisijungimo duomenis iš nieko neįtariančių aukų. Kibernetinio saugumo ekspertai perspėja, kad šie...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
33,974
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...