XWorm ६.० मालवेयर

सुरक्षा अनुसन्धानकर्ताहरूले XWorm लाई कम्प्याक्ट रिमोट-एक्सेस फ्रेमवर्कबाट एक उच्च मोड्युलर प्लेटफर्ममा पत्ता लगाएका छन् जुन अपरेटरहरूले सम्झौता गरिएका विन्डोज होस्टहरूमा विस्तृत दायराका दुर्भावनापूर्ण अपरेशनहरू चलाउन प्रयोग गर्छन्। पहिलो पटक २०२२ मा फ्ल्याग गरिएको र EvilCoder ह्यान्डल प्रयोग गर्ने समूहसँग लिङ्क गरिएको, XWorm लाई XCoder (२०२४ को मध्यसम्म प्रमुख विकासकर्ता) र हालसालै, XCoderTools जस्ता विक्रेताहरू प्रयोग गर्ने व्यक्तिहरूद्वारा सक्रिय रूपमा विकास र पुन: काम गरिएको छ। यसको निरन्तर विकास र पुन: उपस्थितिले उपकरण कति चाँडो टुक्राटुक्रा हुन सक्छ, पुन: प्याकेज गर्न सकिन्छ र पुन: जंगलमा प्रवेश गर्न सक्छ भनेर देखाउँछ।

XWorm कसरी बनाइन्छ — कोर + प्लगइनहरू

XWorm को वास्तुकला एउटा सानो क्लाइन्टमा केन्द्रित छ जुन कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भर र माग अनुसार मेमोरीमा लोड हुने प्लग-इन पेलोडहरूको ठूलो सेटमा पुग्छ। डिजाइनले अपरेटरहरूलाई विशिष्ट कार्यहरू गर्न कार्यक्षमता (DLLs) लाई गतिशील रूपमा पुश गर्दै हल्का वजनको क्लाइन्टलाई होस्टमा राख्न अनुमति दिन्छ। परियोजनाको इकोसिस्टममा विकासकर्ताहरूद्वारा प्रवर्द्धित सहायक उपकरणहरू पनि समावेश छन्: .NET मालवेयर बिल्डर, XBinder भनिने छुट्टै RAT, र Windows प्रयोगकर्ता खाता नियन्त्रण (UAC) लाई बाइपास गर्ने प्रयास गर्ने उपयोगिता। XWorm वरपरको विकासकर्ता समुदायले वितरण आकर्षणको रूपमा अन्य कम्पोनेन्टहरू र नक्कली स्थापनाकर्ताहरू (विशेष गरी दुर्भावनापूर्ण ScreenConnect स्थापनाकर्ताहरू) को विज्ञापन गरेको छ।

संक्रमण शृङ्खला र वितरण प्रविधिहरू

अनुसन्धानकर्ताहरूले XWorm को लागि धेरै, परिवर्तनशील संक्रमण कार्यप्रवाहहरू अवलोकन गरेका छन्। प्रारम्भिक चेनहरूले Windows सर्टकट (LNK) फाइलहरू डेलिभर गर्ने फिसिङ सन्देशहरूमा भर परेका थिए; LNK हरूले PowerShell कार्यान्वयन गर्थे, जसले डिकोय फाइलहरू (उदाहरणका लागि, हानिरहित TXT) र भ्रामक कार्यान्वयनयोग्य (सामान्यतया Discord को रूपमा लुकाउने) छोड्थ्यो जसले अन्ततः वास्तविक पेलोड सुरु गर्थ्यो। 6.x परिवार वितरण गर्ने हालैका अभियानहरूले फिसिङ इमेलहरूमा दुर्भावनापूर्ण जाभास्क्रिप्ट संलग्नकहरू प्रयोग गरेका छन् जसले पृष्ठभूमि PowerShell कार्यान्वयन गर्दा डिकोय PDF प्रदर्शन गर्दछ जसले XWorm लाई RegSvcs.exe जस्ता वैध प्रक्रियाहरूमा इन्जेक्ट गर्दछ पत्ता लगाउनबाट बच्न। धम्की दिने अभिनेताहरूले GitHub रिपो, फाइल-साझेदारी साइटहरू, टेलिग्राम च्यानलहरू, र YouTube मार्फत XWorm कम्पोनेन्टहरूको क्र्याक वा ट्रोजनाइज्ड संस्करणहरूलाई पनि धकेलेका छन्, कम कुशल अपरेटरहरूलाई ब्याकडोर बिल्डरहरू स्थापना गर्न छल गर्ने प्रयास गर्दै।

चोरी, रिमोट कन्ट्रोल, र अपरेटर सुविधाहरू

XWorm ले धेरै एन्टी-विश्लेषण जाँचहरू एकीकृत गर्दछ जसले भर्चुअलाइजेशन वा स्यान्डबक्स संकेतकहरू पत्ता लगाउँदा कार्यान्वयन रद्द गर्दछ। एक पटक सक्रिय भएपछि, क्लाइन्टले C2 बाट आदेशहरू स्वीकार गर्दछ जसले सामान्य RAT अपरेशनहरू (फाइल स्थानान्तरण, प्रक्रिया र सेवा हेरफेर, शेल आदेशहरू कार्यान्वयन गर्ने, URL खोल्ने), प्रणाली नियन्त्रण (शटडाउन/पुन: सुरु गर्ने), र DDoS गतिविधि सुरु गर्ने जस्ता थप आक्रामक कार्यहरू समेट्छ। मोड्युलर प्लगइन मोडेलले रिमोट अपरेटरलाई डिस्कमा नलेखी मेमोरीमा 35 भन्दा बढी फरक DLL पेलोडहरू चलाउन दिन्छ, XWorm लाई फोरेन्सिक ट्रेसहरू कम गर्दा लचिलो आक्रमण सतह दिन्छ।

प्लगइन डेलिभरी प्रोटोकल

XWorm 6.x ले ह्यास-फर्स्ट प्लगइन प्रोटोकल लागू गर्दछ: C2 ले अनुरोध गरिएको DLL को SHA-256 ह्यास प्लस रनटाइम आर्गुमेन्टहरू समावेश गर्ने 'प्लगइन' आदेश जारी गर्दछ। क्लाइन्टले त्यो प्लगइन पहिले नै क्यास गरिएको छ कि छैन भनेर जाँच गर्दछ; यदि छैन भने, यसले 'sendplugin' भएको फाइल अनुरोध गर्दछ। सर्भरले 'savePlugin' आदेशको साथ जवाफ दिन्छ जुन प्लगइनलाई base64 ब्लब र यसको SHA-256 ह्यासको रूपमा बोक्छ। क्लाइन्टले ब्लब डिकोड गर्छ, ह्यास प्रमाणित गर्छ, र कार्यान्वयनको लागि DLL लाई सिधै मेमोरीमा लोड गर्दछ।

उल्लेखनीय प्लगइनहरू र तिनीहरूले के गर्छन्

• RemoteDesktop.dll — एक अन्तरक्रियात्मक रिमोट सत्र स्थापना गर्दछ।
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — OS र अनुप्रयोगहरूबाट प्रमाणहरू र डेटा चोरी (Windows कुञ्जीहरू, Wi‑Fi पासवर्डहरू, ब्राउजर-भण्डार गरिएका प्रमाणहरू, एप-बाउन्ड इन्क्रिप्सनको लागि बाइपासहरू सहित, र FileZilla, Discord, Telegram, MetaMask को लागि हार्वेस्टरहरू)।
• FileManager.dll — फाइल प्रणाली पहुँच र हेरफेर।
• Shell.dll — cmd.exe मार्फत अपरेटर आदेशहरूको लुकेको कार्यान्वयन।
• Informations.dll — होस्ट/सिस्टम फिंगरप्रिन्टिङ।
• Webcam.dll — वास्तविक पीडितको पुष्टि गर्न वेबक्याम छविहरू/भिडियो खिच्दछ।
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — नेटवर्क जडानहरू, सक्रिय विन्डोजहरू, र स्वत: सुरु प्रविष्टिहरूको गणना गर्दछ।
• Ransomware.dll — फाइल इन्क्रिप्शन/डिक्रिप्शन रुटिनहरू (NoCry-शैली ransomware सँग कोड साझा गर्दछ)।
• Rootkit.dll — परिमार्जित r77 रुटकिट स्थापना गर्छ।
• ResetSurvival.dll — निश्चित उपकरण रिसेटहरू बचाउन Windows रजिस्ट्रीलाई परिमार्जन गर्दछ।

XWorm संक्रमण मार्फत वितरित अन्य मालवेयरहरू समावेश छन्:

• डार्कक्लाउड चोर
• ह्वर्म (VBS RAT)
• स्नेक किलगर
• सिक्का खानी कामदारहरू
• शुद्ध मालवेयर
• ShadowSniff (रस्ट स्टिलर, खुला स्रोत)
• फ्यान्टम स्टिलर
• फेमेड्रोन चोर

सञ्चालन अवरोधहरू, खण्डीकरण, र हतियारयुक्त फोर्कहरू

XWorm को विकास रैखिक भएको छैन। २०२४ को दोस्रो आधामा, व्यक्तित्व XCoder ले अचानक आफ्नो टेलिग्राम उपस्थिति हटायो, जसले परियोजनाको भविष्यमा शंका उत्पन्न गर्‍यो। यद्यपि, त्यो खाडलले अवसरवादी गतिविधिलाई जन्म दियो: अन्य खतरा अभिनेताहरूलाई संक्रमित गर्न आफैं ट्रोजनाइज गरिएको XWorm v5.6 प्याकेजहरू क्र्याक गरियो, र GitHub र अन्य सार्वजनिक च्यानलहरू मार्फत 'स्क्रिप्ट किडीहरू' लाई लक्षित गर्ने सामाजिक इन्जिनियरिङ अभियानहरू - अनुसन्धानकर्ताहरूले अनुमान गरेका अभियानहरूले दशौं हजार उपकरणहरू (कथित रूपमा १८,००० भन्दा बढी) लाई सम्झौता गर्ने प्रयास गरेका थिए।

विश्लेषकहरूले XSPY (रिपोर्ट गरिएको उत्पत्ति: चिनियाँ-भाषा संस्करण) लेबल गरिएको भेरियन्ट र केही निर्माणहरूमा एक महत्वपूर्ण रिमोट कोड कार्यान्वयन (RCE) कमजोरी सहित परिमार्जित फोर्कहरू पनि फेला पारे जसले C2 एन्क्रिप्शन कुञ्जी भएको कसैलाई संक्रमित होस्टहरूमा मनमानी कोड कार्यान्वयन गर्न अनुमति दियो। टुलकिटको विखंडनले एट्रिब्युशन र टेकडाउनलाई अझ गाह्रो बनाउँछ; फरक विक्रेता र फोर्कहरू देखा पर्न सक्छन् र स्वतन्त्र रूपमा गायब हुन सक्छन्।

२०२५ को पुनरुत्थान: XWorm ६.० र बजार गतिविधि

जुन ४, २०२५ मा, XCoderTools भनिने एक विक्रेताले साइबर अपराध फोरमहरूमा XWorm 6.0 पोस्ट गर्‍यो जसको मूल्य $५०० को जीवनभर पहुँच थियो, र दावी गर्‍यो कि रिलीज पूर्ण रूपमा पुन: कोड गरिएको थियो र पहिले रिपोर्ट गरिएको RCE त्रुटि समाधान गरिएको थियो। यो रिलीज मूल लेखकबाट आएको हो वा XWorm ब्रान्डको लाभ उठाउने तेस्रो पक्षबाट आएको हो भन्ने कुरा स्पष्ट छैन। अवलोकन गरिएका XWorm 6.0 नमूनाहरू पोर्ट ४४११ मा ९४.१५९.११३[.]६४ मा C2 लाई सम्पर्क गर्न र माथि वर्णन गरिएको प्लगइन प्रोटोकल लागू गर्न कन्फिगर गरिएको छ, जसले दर्जनौं DLL मोड्युलहरूको द्रुत, इन-मेमोरी डेलिभरी सक्षम पार्छ।

तल्लो रेखा

XWorm को जीवन चक्र - सक्रिय विकासदेखि परित्यागदेखि नयाँ विक्रेताहरू र ट्रोजनाइज्ड क्र्याक बिल्डहरू अन्तर्गत पुन: देखा पर्दासम्म - मालवेयर एक पारिस्थितिक प्रणाली हो भन्ने कुराको सम्झना गराउँछ। यदि एक मूल लेखक गायब भए पनि, तिनीहरूको कोड फोर्क गर्न सकिन्छ, हतियार बनाउन सकिन्छ, र अरूद्वारा पुन: तैनाथ गर्न सकिन्छ। त्यसकारण, रक्षकहरूले लचिलो नियन्त्रण र पत्ता लगाउने रणनीतिहरूमा ध्यान केन्द्रित गर्नुपर्छ जसले विरोधीहरूले अवस्थित उपकरणसेटहरू पुन: प्रयोग र पुन: प्याकेज गर्नेछन् भन्ने अनुमान गर्दछ।