Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare XWorm 6.0-skadevare

XWorm 6.0-skadevare

Med Mezo i Skadelig programvare, Ormer
Oversett til:

Sikkerhetsforskere har sporet XWorm fra et kompakt rammeverk for fjerntilgang til en svært modulær plattform som operatører bruker til å kjøre et bredt spekter av ondsinnede operasjoner på kompromitterte Windows-verter. XWorm ble først flagget i 2022 og koblet til en gruppe som bruker brukernavnet EvilCoder, og har blitt aktivt utviklet og omarbeidet av enkeltpersoner som bruker personasene XCoder (hovedutvikler frem til midten av 2024) og, mer nylig, selgere som XCoderTools. Den fortsatte utviklingen og gjenoppkomsten viser hvor raskt et verktøy kan fragmenteres, pakkes på nytt og komme ut i naturen igjen.

Hvordan XWorm er bygget – Kjerne + Plugins

XWorms arkitektur sentrerer seg rundt en liten klient som kobler seg til en Command-and-Control (C2)-server og et stort sett med plugin-nyttelaster som lastes inn i minnet på forespørsel. Designet lar operatører beholde den lette klienten på en vert samtidig som de dynamisk skyver funksjonalitet (DLL-er) for å utføre spesifikke oppgaver. Prosjektets økosystem har også inkludert tilleggsverktøy promotert av utviklerne: en .NET-malwarebygger, en separat RAT kalt XBinder og et verktøy som prøver å omgå Windows User Account Control (UAC). Utviklerfellesskapet rundt XWorm har annonsert andre komponenter og falske installasjonsprogrammer (spesielt ondsinnede ScreenConnect-installasjonsprogrammer) som distribusjonslokkemidler.

Smittekjeder og leveringsteknikker

Forskere har observert flere, skiftende infeksjonsarbeidsflyter for XWorm. Tidlige kjeder var avhengige av phishing-meldinger som leverte Windows-snarveifiler (LNK-er); LNK-ene kjørte PowerShell, som droppet lokkefiler (for eksempel en harmløs TXT) og en villedende kjørbar fil (vanligvis forkledd som Discord) som til slutt lanserte den virkelige nyttelasten. Nyere kampanjer som distribuerer 6.x-familien har brukt ondsinnede JavaScript-vedlegg i phishing-e-poster som viser en lokke-PDF mens de kjører PowerShell i bakgrunnen som injiserer XWorm i legitime prosesser som RegSvcs.exe for å unngå oppdagelse. Trusselaktører har også sendt sprukne eller trojaniserte versjoner av XWorm-komponenter gjennom GitHub-repoer, fildelingssider, Telegram-kanaler og YouTube, i et forsøk på å lure mindre dyktige operatører til å installere bakdørsbyggere.

Unnvikelse, fjernkontroll og operatørfunksjoner

XWorm integrerer flere antianalysekontroller som avbryter kjøringen når den oppdager virtualiserings- eller sandkasseindikatorer. Når den er aktiv, godtar klienten kommandoer fra C2 som dekker vanlige RAT-operasjoner (filoverføring, prosess- og tjenestemanipulering, kjøring av skallkommandoer, åpning av URL-er), systemkontroll (avslutning/omstart) og mer aggressive handlinger som å starte DDoS-aktivitet. Den modulære plugin-modellen lar en ekstern operatør kjøre mer enn 35 forskjellige DLL-nyttelaster i minnet uten å skrive dem til disk, noe som gir XWorm en fleksibel angrepsflate samtidig som det reduserer rettsmedisinske spor.

Protokoll for levering av plugin-moduler

XWorm 6.x implementerer en hash-first plugin-protokoll: C2 utsteder en 'plugin'-kommando som inneholder SHA-256-hashen til den forespurte DLL-en pluss runtime-argumenter. Klienten sjekker om den allerede har den plugin-en mellomlagret; hvis ikke, ber den om filen med 'sendplugin'. Serveren svarer med en 'savePlugin'-kommando som inneholder plugin-en som en base64-blob og dens SHA-256-hash. Klienten dekoder bloben, verifiserer hashen og laster DLL-en direkte inn i minnet for utførelse.

Merkbare plugins og hva de gjør

  • RemoteDesktop.dll – oppretter en interaktiv ekstern økt.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll – tyveri av påloggingsinformasjon og data fra operativsystemer og applikasjoner (Windows-nøkler, Wi-Fi-passord, nettleserlagret påloggingsinformasjon, inkludert omgåelser for appbundet kryptering og innhøstingsprogrammer for FileZilla, Discord, Telegram og MetaMask).
  • FileManager.dll — tilgang til og manipulering av filsystem.
  • Shell.dll — skjult utførelse av operatorkommandoer gjennom cmd.exe.
  • Informations.dll — fingeravtrykk av verts-/systemfunksjon.
  • Webcam.dll – tar opp webkamerabilder/video for å bekrefte et ekte offer.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – lister opp nettverkstilkoblinger, aktive vinduer og autostartoppføringer.
  • Ransomware.dll – rutiner for filkryptering/dekryptering (deler kode med NoCry-lignende ransomware).
  • Rootkit.dll – installerer et modifisert r77 rootkit.
  • ResetSurvival.dll – endrer Windows-registeret slik at det tåler visse tilbakestillinger av enheter.

Annen skadelig programvare distribuert via XWorm-infeksjoner inkluderer:

  • DarkCloud-stjeler
  • Horm (VBS-rotte)
  • Snake Keylogger
  • Myntgruvearbeidere
  • Ren skadelig programvare
  • ShadowSniff (rusttyver, åpen kildekode)
  • Fantomstyver
  • Femedronstyver
  • Remcos RAT

Operasjonelle tilbakeslag, fragmentering og våpenbaserte gafler

XWorms utvikling har ikke vært lineær. I andre halvdel av 2024 slettet personaen XCoder brått sin Telegram-tilstedeværelse, noe som sår tvil om prosjektets fremtid. Dette gapet skapte imidlertid opportunistisk aktivitet: krakkede XWorm v5.6-pakker som i seg selv var trojanere for å infisere andre trusselaktører, og sosial manipuleringskampanjer rettet mot «script kiddies» via GitHub og andre offentlige kanaler – kampanjer som forskere anslår forsøkte å kompromittere titusenvis av enheter (angivelig over 18 000).

Analytikere fant også modifiserte forks, inkludert en variant merket XSPY (rapportert opprinnelse: kinesiskspråklig variant) og en kritisk svakhet ved ekstern kodekjøring (RCE) i noen bygg som tillot noen som hadde C2-krypteringsnøkkelen å kjøre vilkårlig kode på infiserte verter. Verktøysettets fragmentering gjør attribusjon og fjerning vanskeligere; forskjellige selgere og forks kan dukke opp og forsvinne uavhengig av hverandre.

Resurfacing i 2025: XWorm 6.0 og markedsaktivitet

4. juni 2025 publiserte en leverandør som kalte seg XCoderTools XWorm 6.0 på nettkriminalitetsforum til en pris på $500 for livstids tilgang, og hevdet at utgivelsen var fullstendig omkodet og at den tidligere rapporterte RCE-feilen var rettet. Det er uklart om denne utgivelsen kom fra den opprinnelige forfatteren eller fra en tredjepart som utnyttet XWorm-merket. Observerte XWorm 6.0-eksempler er konfigurert til å kontakte en C2 på 94.159.113[.]64 på port 4411 og implementere plugin-protokollen beskrevet ovenfor, noe som muliggjør rask levering i minnet av dusinvis av DLL-moduler.

Konklusjon

XWorms livssyklus – fra aktiv utvikling via oppgivelse til gjenopptreden hos nye selgere og trojanere som har fått sprekker – er en påminnelse om at skadelig programvare er et økosystem. Selv om en opprinnelig forfatter forsvinner, kan koden deres forkedes, bli våpengjort og omdistribuert av andre. Forsvarere må derfor fokusere på robuste kontroller og deteksjonsstrategier som antar at motstandere vil gjenbruke og pakke eksisterende verktøysett på nytt.

Trender

Mest sett

Laster inn...