Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra XWorm 6.0 ļaunprogrammatūra

XWorm 6.0 ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Tārpi. gadā
Tulkot uz:

Drošības pētnieki ir izsekojuši XWorm no kompakta attālās piekļuves ietvara līdz ļoti modulārai platformai, ko operatori izmanto, lai veiktu plašu ļaunprātīgu darbību klāstu apdraudētos Windows resursdatoros. Pirmo reizi atzīmēts 2022. gadā un saistīts ar grupu, izmantojot lietotājvārdu EvilCoder, XWorm ir aktīvi izstrādājis un pārstrādājis indivīds, izmantojot personas XCoder (vadošais izstrādātājs līdz 2024. gada vidum), un nesen arī tādi pārdevēji kā XCoderTools. Tā nepārtrauktā attīstība un atkārtota parādīšanās parāda, cik ātri rīks var fragmentēties, tikt pārpakots un atkal nonākt brīvā dabā.

Kā XWorm ir veidots — kodols + spraudņi

XWorm arhitektūras centrā ir neliels klients, kas sazinās ar Command-and-Control (C2) serveri, un liels spraudņu vērtumu kopums, kas pēc pieprasījuma tiek ielādēti atmiņā. Šis dizains ļauj operatoriem paturēt vieglo klientu resursdatorā, vienlaikus dinamiski virzot funkcionalitāti (DLL), lai veiktu konkrētus uzdevumus. Projekta ekosistēmā ir iekļauti arī izstrādātāju reklamētie palīgrīki: .NET ļaunprogrammatūras veidotājs, atsevišķs RAT ar nosaukumu XBinder un utilīta, kas mēģina apiet Windows lietotāja konta kontroli (UAC). Izstrādātāju kopiena ap XWorm ir reklamējusi citus komponentus un viltotus instalētājus (īpaši ļaunprātīgus ScreenConnect instalētājus) kā izplatīšanas ēsmas.

Infekcijas ķēdes un piegādes metodes

Pētnieki ir novērojuši vairākas mainīgas XWorm inficēšanas darbplūsmas. Agrīnās ķēdes balstījās uz pikšķerēšanas ziņojumiem, kas piegādāja Windows saīsņu (LNK) failus; LNK izpildīja PowerShell, kas nometa mānekļa failus (piemēram, nekaitīgu TXT) un maldinošu izpildāmo failu (parasti maskējoties kā Discord), kas galu galā palaida īsto vērtumu. Jaunākās kampaņas, kas izplata 6.x saimi, ir izmantojušas ļaunprātīgus JavaScript pielikumus pikšķerēšanas e-pastos, kas parāda mānekļa PDF failu, vienlaikus izpildot fona PowerShell, kas ievada XWorm likumīgos procesos, piemēram, RegSvcs.exe, lai izvairītos no atklāšanas. Draudu izpildītāji ir arī izplatījuši uzlauztas vai Trojas zirga arsenāla XWorm komponentu versijas, izmantojot GitHub repozitorijus, failu koplietošanas vietnes, Telegram kanālus un YouTube, mēģinot apmānīt mazāk prasmīgus operatorus, lai tie instalētu aizmugures durvju veidotājus.

Izvairīšanās, tālvadības pults un operatora funkcijas

XWorm integrē vairākas antianalīzes pārbaudes, kas pārtrauc izpildi, ja tās atrod virtualizācijas vai smilškastes indikatorus. Kad aktīvs, klients no C2 pieņem komandas, kas aptver izplatītas RAT darbības (failu pārsūtīšana, procesu un pakalpojumu manipulācija, čaulas komandu izpilde, URL atvēršana), sistēmas kontroli (izslēgšana/restartēšana) un agresīvākas darbības, piemēram, DDoS aktivitātes palaišanu. Modulārais spraudņa modelis ļauj attālinātam operatoram palaist vairāk nekā 35 dažādas DLL vērtuma slodzes atmiņā, nerakstot tās diskā, nodrošinot XWorm elastīgu uzbrukuma virsmu un vienlaikus samazinot forenzikas pēdas.

Spraudņa piegādes protokols

XWorm 6.x ievieš jaucējkoda pirmās izmantošanas spraudņa protokolu: C2 izdod komandu “spraudnis”, kas satur pieprasītā DLL SHA‑256 jaucējkodu, kā arī izpildlaika argumentus. Klients pārbauda, vai šis spraudnis jau ir kešatmiņā; ja nē, tas pieprasa failu ar “sendplugin”. Serveris atbild ar komandu “savePlugin”, kurā spraudnis ir kā base64 blob un tā SHA‑256 jaucējkods. Klients dekodē blobu, pārbauda jaucējkodu un ielādē DLL tieši atmiņā izpildei.

Ievērojami spraudņi un to darbība

  • RemoteDesktop.dll — izveido interaktīvu attālo sesiju.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — akreditācijas datu un datu zādzība no operētājsistēmas un lietojumprogrammām (Windows atslēgas, Wi-Fi paroles, pārlūkprogrammā saglabātie akreditācijas dati, tostarp lietotņu šifrēšanas apiešanas veidi un FileZilla, Discord, Telegram, MetaMask apkopotāji).
  • FileManager.dll — piekļuve failu sistēmai un manipulācijas ar to.
  • Shell.dll — operatora komandu slēpta izpilde, izmantojot cmd.exe.
  • Informations.dll — resursdatora/sistēmas pirkstu nospiedumu noņemšana.
  • Webcam.dll — uzņem tīmekļa kameras attēlus/video, lai apstiprinātu reāla upura esamību.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — uzskaita tīkla savienojumus, aktīvos logus un automātiskās palaišanas ierakstus.
  • Ransomware.dll — failu šifrēšanas/atšifrēšanas rutīnas (koplieto kodu ar NoCry stila izspiedējvīrusu).
  • Rootkit.dll — instalē modificētu r77 rootkit.
  • ResetSurvival.dll — modificē Windows reģistru, lai tas saglabātos pēc noteiktu ierīču atiestatīšanas.

Cita ļaunprogrammatūra, kas tiek izplatīta, izmantojot XWorm infekcijas, ir šāda:

  • DarkCloud zaglis
  • Htārps (VBS žurka)
  • Čūskas taustiņu reģistrētājs
  • Monētu ieguvēji
  • Tīra ļaunprogrammatūra
  • ShadowSniff (rūsas zaglis, atvērtā koda)
  • Fantoma zaglis
  • Fenedrona zaglis
  • Remcos RAT

Operacionālās neveiksmes, sadrumstalotība un ieroču dakšas

XWorm attīstība nav bijusi lineāra. 2024. gada otrajā pusē persona XCoder pēkšņi izdzēsa savu klātbūtni Telegram platformā, radot šaubas par projekta nākotni. Tomēr šī plaisa izraisīja oportūnistiskas aktivitātes: uzlauztas XWorm v5.6 pakotnes, kas pašas bija inficētas ar Trojas zirgiem, lai inficētu citus apdraudējumu dalībniekus, un sociālās inženierijas kampaņas, kas vērstas pret "script kiddies", izmantojot GitHub un citus publiskus kanālus, — kampaņas, kas, pēc pētnieku aplēsēm, mēģināja apdraudēt desmitiem tūkstošu ierīču (pēc ziņojumiem, vairāk nekā 18 000).

Analītiķi atrada arī modificētus atzarojumus, tostarp variantu ar apzīmējumu XSPY (ziņotā izcelsme: ķīniešu valodas variants) un kritisku attālās koda izpildes (RCE) ievainojamību dažās versijās, kas ļāva kādam, kam bija C2 šifrēšanas atslēga, izpildīt patvaļīgu kodu inficētos resursdatoros. Rīkkopa fragmentācija apgrūtina attiecināšanu un noņemšanu; dažādi pārdevēji un atzarojumi var parādīties un pazust neatkarīgi viens no otra.

2025. gada atdzimšana: XWorm 6.0 un tirgus aktivitāte

2025. gada 4. jūnijā pārdevējs, kas sevi dēvē par XCoderTools, kibernoziegumu forumos ievietoja XWorm 6.0 versiju, kuras cena bija 500 ASV dolāru par mūža piekļuvi, apgalvojot, ka laidiens ir pilnībā pārkodēts un ka iepriekš ziņotā RCE kļūda ir novērsta. Nav skaidrs, vai šo laidienu izdeva sākotnējais autors vai trešā puse, kas izmanto XWorm zīmolu. Novērotie XWorm 6.0 paraugi ir konfigurēti tā, lai sazinātos ar C2 pa adresi 94.159.113[.]64 4411. portā un ieviestu iepriekš aprakstīto spraudņa protokolu, nodrošinot ātru desmitiem DLL moduļu piegādi atmiņā.

Kopsavilkums

XWorm dzīves cikls — no aktīvas izstrādes līdz pamešanai un atkārtotai parādīšanai zem jauniem pārdevējiem un Trojas zirga uzlauztām versijām — atgādina, ka ļaunprogrammatūra ir ekosistēma. Pat ja sākotnējais autors pazūd, viņa kodu var sadalīt, pārvērst par ieroci un atkārtoti izvietot citi. Tāpēc aizsardzības sistēmām ir jākoncentrējas uz noturīgām kontrolēm un atklāšanas stratēģijām, kas pieņem, ka pretinieki atkārtoti izmantos un pārsaiņos esošos rīkus.

Tendences

Jūsu pastkastes versijas darbība tiks pārtraukta...

Pikšķerēšana, Mēstules
Tiešsaistes krāpnieki nepārtraukti izstrādā jaunus trikus, lai maldinātu lietotājus un nozagtu vērtīgus datus. Viens šāds piemērs ir krāpniecība “Jūsu pastkastes versija tiks pārtraukta” — pikšķerēšanas kampaņa, kuras mērķis ir iegūt pieteikšanās datus no neko nenojaušošiem upuriem. Kiberdrošības eksperti brīdina, ka šie krāpnieciskie ziņojumi nav saistīti ar likumīgiem uzņēmumiem,...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,974
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...