Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian hasad XWorm 6.0

Perisian hasad XWorm 6.0

Menjelang Mezo pada perisian hasad, cacing
Terjemahkan ke

Penyelidik keselamatan telah menjejaki XWorm daripada rangka kerja akses jauh yang padat ke dalam platform yang sangat modular yang digunakan oleh pengendali untuk menjalankan pelbagai operasi berniat jahat pada hos Windows yang terjejas. Mula-mula dibenderakan pada tahun 2022 dan dipautkan kepada kumpulan menggunakan pemegang EvilCoder, XWorm telah dibangunkan dan diolah semula secara aktif oleh individu yang menggunakan personas XCoder (pembangun utama sehingga pertengahan 2024) dan, lebih baru-baru ini, penjual seperti XCoderTools. Evolusi dan kemunculan semula yang berterusan menunjukkan betapa cepatnya alat boleh pecah, dibungkus semula dan memasuki semula alam liar.

Cara XWorm Dibina — Teras + Pemalam

Seni bina XWorm tertumpu pada pelanggan kecil yang menjangkau pelayan Command-and-Control (C2) dan set besar muatan pemalam yang dimuatkan ke dalam memori atas permintaan. Reka bentuk ini membolehkan pengendali mengekalkan klien ringan pada hos sambil mendorong kefungsian (DLL) secara dinamik untuk melaksanakan tugas tertentu. Ekosistem projek itu juga termasuk alat sampingan yang dipromosikan oleh pembangun: pembina perisian hasad .NET, RAT berasingan yang dipanggil XBinder dan utiliti yang cuba memintas Kawalan Akaun Pengguna (UAC) Windows. Komuniti pembangun di sekitar XWorm telah mengiklankan komponen lain dan pemasang palsu (terutamanya pemasang ScreenConnect yang berniat jahat) sebagai gewang pengedaran.

Rantaian Jangkitan Dan Teknik Penghantaran

Penyelidik telah memerhatikan pelbagai, mengalihkan aliran kerja jangkitan untuk XWorm. Rantaian awal bergantung pada mesej pancingan data yang menghantar fail pintasan Windows (LNK); LNK melaksanakan PowerShell, yang menjatuhkan fail umpan (contohnya, TXT yang tidak berbahaya) dan boleh laku yang menipu (biasanya menyamar sebagai Discord) yang akhirnya melancarkan muatan sebenar. Kempen yang lebih terkini yang mengedarkan keluarga 6.x telah menggunakan lampiran JavaScript yang berniat jahat dalam e-mel pancingan data yang memaparkan PDF tipu semasa melaksanakan PowerShell latar belakang yang menyuntik XWorm ke dalam proses yang sah seperti RegSvcs.exe untuk mengelakkan pengesanan. Aktor ancaman juga telah menolak versi komponen XWorm yang retak atau ditrojan melalui repo GitHub, tapak perkongsian fail, saluran Telegram dan YouTube, cuba memperdaya pengendali yang kurang mahir untuk memasang pembina pintu belakang.

Ciri Pengelakan, Kawalan Jauh dan Operator

XWorm menyepadukan berbilang semakan anti-analisis yang membatalkan pelaksanaan apabila ia mengesan penunjuk virtualisasi atau kotak pasir. Setelah aktif, pelanggan menerima arahan daripada C2 yang meliputi operasi RAT biasa (pemindahan fail, proses dan manipulasi perkhidmatan, melaksanakan perintah shell, membuka URL), kawalan sistem (tutup/mulakan semula) dan tindakan yang lebih agresif seperti melancarkan aktiviti DDoS. Model pemalam modular membolehkan pengendali jauh menjalankan lebih daripada 35 muatan DLL berbeza dalam ingatan tanpa menulisnya ke cakera, memberikan XWorm permukaan serangan yang fleksibel sambil mengurangkan kesan forensik.

Protokol Penghantaran Pemalam

XWorm 6.x melaksanakan protokol pemalam pertama cincang: C2 mengeluarkan arahan 'plugin' yang mengandungi cincang SHA‑256 bagi argumen DLL ditambah masa jalan yang diminta. Pelanggan menyemak sama ada ia sudah mempunyai pemalam itu dicache; jika tidak, ia meminta fail dengan 'sendplugin'. Pelayan membalas dengan arahan 'savePlugin' yang membawa pemalam sebagai gumpalan base64 dan cincang SHA‑256nya. Pelanggan menyahkod gumpalan, mengesahkan cincangan dan memuatkan DLL terus ke dalam memori untuk dilaksanakan.

Pemalam Terkenal Dan Perkara Yang Mereka Lakukan

  • RemoteDesktop.dll — mewujudkan sesi jauh interaktif.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — bukti kelayakan dan kecurian data daripada OS dan aplikasi (kunci Windows, kata laluan Wi‑Fi, bukti kelayakan yang disimpan penyemak imbas, termasuk pintasan untuk penyulitan terikat apl, Penyulitan Terikat apl, dan harg.
  • FileManager.dll — akses dan manipulasi sistem fail.
  • Shell.dll — perlaksanaan tersembunyi arahan pengendali melalui cmd.exe.
  • Informations.dll — cap jari hos/sistem.
  • Webcam.dll — menangkap imej/video kamera web untuk mengesahkan mangsa sebenar.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — menghitung sambungan rangkaian, tetingkap aktif dan entri autostart.
  • Ransomware.dll — rutin penyulitan/penyahsulitan fail (berkongsi kod dengan perisian tebusan gaya NoCry).
  • Rootkit.dll — memasang rootkit r77 yang diubah suai.
  • ResetSurvival.dll — mengubah suai Windows Registry untuk meneruskan penetapan semula peranti tertentu.

Malware lain yang diedarkan melalui jangkitan XWorm termasuk:

  • Pencuri DarkCloud
  • Hworm (TIKUS VBS)
  • Ular KeyLogger
  • pelombong syiling
  • Perisian Hasad Tulen
  • ShadowSniff (Pencuri karat, sumber terbuka)
  • Pencuri Hantu
  • Pencuri Phemedrone
  • RAT Remcos

Kemunduran Operasi, Pecahan dan Garpu Bersenjata

Perkembangan XWorm tidak linear. Pada separuh kedua tahun 2024, persona XCoder secara tiba-tiba memadamkan kehadiran Telegram mereka, menimbulkan keraguan pada masa depan projek itu. Jurang itu, bagaimanapun, mencetuskan aktiviti oportunistik: pakej XWorm v5.6 retak yang sendiri telah ditrojan untuk menjangkiti pelakon ancaman lain, dan kempen kejuruteraan sosial yang menyasarkan 'anak-anak skrip' melalui GitHub dan saluran awam lain — kempen yang dianggarkan penyelidik cuba menjejaskan berpuluh-puluh ribu peranti (dilaporkan melebihi 18,000).

Penganalisis juga menemui garpu yang diubah suai, termasuk varian berlabel XSPY (asal yang dilaporkan: varian bahasa Cina) dan kelemahan pelaksanaan kod jauh (RCE) kritikal dalam beberapa binaan yang membenarkan seseorang yang memiliki kunci penyulitan C2 melaksanakan kod arbitrari pada hos yang dijangkiti. Pemecahan kit alat menjadikan atribusi dan alih keluar lebih sukar; penjual dan garpu yang berbeza boleh muncul dan hilang secara bebas.

The 2025 Resurfacing: XWorm 6.0 And Marketplace Activity

Pada 4 Jun 2025, vendor yang menamakan dirinya XCoderTools menyiarkan XWorm 6.0 pada forum jenayah siber berharga $500 untuk akses seumur hidup, mendakwa keluaran itu telah dikod semula sepenuhnya dan bahawa kecacatan RCE yang dilaporkan sebelum ini telah diperbaiki. Tidak jelas sama ada keluaran ini datang daripada pengarang asal atau daripada pihak ketiga yang memanfaatkan jenama XWorm. Sampel XWorm 6.0 yang diperhatikan dikonfigurasikan untuk menghubungi C2 di 94.159.113[.]64 pada port 4411 dan melaksanakan protokol pemalam yang diterangkan di atas, membolehkan penghantaran cepat dalam memori berpuluh-puluh modul DLL.

Bottom Line

Kitaran hayat XWorm — daripada pembangunan aktif melalui pengabaian hingga kemunculan semula di bawah penjual baharu dan binaan retak yang ditrojan — ialah peringatan bahawa perisian hasad ialah ekosistem. Walaupun pengarang asal hilang, kod mereka boleh dicabang, dipersenjatai dan digunakan semula oleh orang lain. Oleh itu, pembela mesti menumpukan pada kawalan berdaya tahan dan strategi pengesanan yang menganggap musuh akan menggunakan semula dan membungkus semula set alat sedia ada.

Trending

Paling banyak dilihat

Memuatkan...