Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware XWorm 6.0-malware

XWorm 6.0-malware

Tegen Mezo in Malware, Wormen
Vertalen naar:

Beveiligingsonderzoekers hebben XWorm getraceerd van een compact framework voor toegang op afstand tot een zeer modulair platform dat operators gebruiken om een breed scala aan kwaadaardige bewerkingen uit te voeren op gecompromitteerde Windows-hosts. XWorm werd voor het eerst in 2022 gesignaleerd en gekoppeld aan een groep met de naam EvilCoder. XWorm is actief ontwikkeld en herwerkt door individuen die de persona's XCoder (hoofdontwikkelaar tot medio 2024) gebruiken en, meer recent, door verkopers zoals XCoderTools. De voortdurende evolutie en heropleving laten zien hoe snel een tool kan fragmenteren, opnieuw kan worden verpakt en weer in het wild kan verschijnen.

Hoe XWorm is gebouwd - Kern + Plugins

De architectuur van XWorm is gebaseerd op een kleine client die verbinding maakt met een Command-and-Control (C2)-server en een grote set plug-in-payloads die op aanvraag in het geheugen worden geladen. Het ontwerp stelt operators in staat om de lichtgewicht client op een host te houden terwijl ze dynamisch functionaliteit (DLL's) pushen om specifieke taken uit te voeren. Het ecosysteem van het project omvatte ook aanvullende tools die door de ontwikkelaars werden gepromoot: een .NET-malwarebuilder, een aparte RAT genaamd XBinder en een hulpprogramma dat Windows User Account Control (UAC) probeert te omzeilen. De ontwikkelaarscommunity rond XWorm heeft andere componenten en nep-installatieprogramma's (met name kwaadaardige ScreenConnect-installatieprogramma's) gepromoot als lokkertjes voor distributie.

Infectieketens en afleveringstechnieken

Onderzoekers hebben meerdere, veranderende infectieworkflows voor XWorm waargenomen. Vroege ketens vertrouwden op phishingberichten die Windows-snelkoppelingsbestanden (LNK's) leverden; de LNK's voerden PowerShell uit, wat lokbestanden (bijvoorbeeld een onschadelijke TXT) en een misleidend uitvoerbaar bestand (vaak vermomd als Discord) plaatste dat uiteindelijk de echte payload lanceerde. Recentere campagnes die de 6.x-familie verspreiden, hebben gebruikgemaakt van kwaadaardige JavaScript-bijlagen in phishingmails die een lok-PDF weergeven terwijl PowerShell op de achtergrond wordt uitgevoerd, waarmee XWorm wordt geïnjecteerd in legitieme processen zoals RegSvcs.exe om detectie te voorkomen. Kwaadwillenden hebben ook gekraakte of trojan-versies van XWorm-componenten gepusht via GitHub-repositories, sites voor bestandsdeling, Telegram-kanalen en YouTube, in een poging minder ervaren gebruikers te misleiden tot het installeren van backdoored builders.

Ontwijkings-, afstandsbedienings- en bedieningsfuncties

XWorm integreert meerdere anti-analysecontroles die de uitvoering afbreken wanneer virtualisatie- of sandboxindicatoren worden gedetecteerd. Eenmaal actief, accepteert de client opdrachten van de C2 voor veelvoorkomende RAT-bewerkingen (bestandsoverdracht, proces- en servicemanipulatie, uitvoeren van shell-opdrachten, openen van URL's), systeembeheer (afsluiten/herstarten) en agressievere acties zoals het starten van DDoS-activiteiten. Dankzij het modulaire plug-inmodel kan een externe operator meer dan 35 verschillende DLL-payloads in het geheugen uitvoeren zonder deze naar schijf te schrijven. Dit geeft XWorm een flexibel aanvalsoppervlak en beperkt tegelijkertijd de forensische tracering.

Plugin-leveringsprotocol

XWorm 6.x implementeert een hash-first plugin-protocol: de C2 geeft een 'plugin'-opdracht uit die de SHA-256-hash van de gevraagde DLL plus runtime-argumenten bevat. De client controleert of de plugin al in de cache staat; zo niet, dan vraagt hij het bestand aan met 'sendplugin'. De server antwoordt met een 'savePlugin'-opdracht die de plugin als base64-blob en de bijbehorende SHA-256-hash bevat. De client decodeert de blob, verifieert de hash en laadt de DLL rechtstreeks in het geheugen voor uitvoering.

Opvallende plug-ins en wat ze doen

  • RemoteDesktop.dll — start een interactieve externe sessie.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — diefstal van inloggegevens en gegevens uit besturingssystemen en toepassingen (Windows-sleutels, wifi-wachtwoorden, in de browser opgeslagen inloggegevens, inclusief omleidingen voor app-gebonden encryptie en harvesters voor FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — toegang tot en manipulatie van het bestandssysteem.
  • Shell.dll — verborgen uitvoering van operatoropdrachten via cmd.exe.
  • Informations.dll — host/systeem-vingerafdruk.
  • Webcam.dll — legt webcambeelden/video vast om te bevestigen dat het om een echt slachtoffer gaat.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — inventariseert netwerkverbindingen, actieve vensters en autostartvermeldingen.
  • Ransomware.dll — routines voor het versleutelen/ontsleutelen van bestanden (deelt code met NoCry-achtige ransomware).
  • Rootkit.dll — installeert een aangepaste r77 rootkit.
  • ResetSurvival.dll — wijzigt het Windows-register zodat het bepaalde apparaatresets overleeft.

Andere malware die via XWorm-infecties wordt verspreid, zijn onder meer:

  • DarkCloud Stealer
  • Hworm (VBS RAT)
  • Snake KeyLogger
  • Muntmijnwerkers
  • Pure malware
  • ShadowSniff (roest-stealer, open-source)
  • Spookdief
  • Phemedrone-stealer
  • Remcos RAT

    • Operationele tegenslagen, fragmentatie en gewapende vorken

    De ontwikkeling van XWorm verliep niet lineair. In de tweede helft van 2024 verwijderde de persona XCoder abrupt zijn Telegram-aanwezigheid, wat twijfels zaaide over de toekomst van het project. Die kloof leidde echter tot opportunistische activiteiten: gekraakte XWorm v5.6-pakketten die zelf waren getrojaniseerd om andere cybercriminelen te infecteren, en social engineering-campagnes gericht op 'scriptkiddies' via GitHub en andere openbare kanalen – campagnes die volgens onderzoekers tienduizenden apparaten probeerden te hacken (naar verluidt meer dan 18.000).

    Analisten vonden ook aangepaste forks, waaronder een variant met de naam XSPY (gerapporteerde oorsprong: Chineestalige variant) en een kritieke kwetsbaarheid in de uitvoering van code op afstand (RCE) in sommige builds, waardoor iemand met de C2-encryptiesleutel willekeurige code kon uitvoeren op geïnfecteerde hosts. De fragmentatie van de toolkit maakt toeschrijving en verwijdering moeilijker; verschillende verkopers en forks kunnen onafhankelijk van elkaar verschijnen en verdwijnen.

    De heropleving van 2025: XWorm 6.0 en marktplaatsactiviteit

    Op 4 juni 2025 plaatste een leverancier die zichzelf XCoderTools noemde XWorm 6.0 op cybercrimeforums voor een prijs van $ 500 voor levenslange toegang. De leverancier beweerde dat de release volledig opnieuw was gecodeerd en dat het eerder gemelde RCE-lek was verholpen. Het is onduidelijk of deze release afkomstig was van de oorspronkelijke auteur of van een derde partij die gebruikmaakt van het XWorm-merk. De waargenomen XWorm 6.0-samples zijn geconfigureerd om contact te maken met een C2 op 94.159.113[.]64 op poort 4411 en implementeren het hierboven beschreven pluginprotocol, waardoor snelle levering van tientallen DLL-modules in het geheugen mogelijk is.

    Conclusie

    De levenscyclus van XWorm – van actieve ontwikkeling via stopzetting tot heroptreden onder nieuwe verkopers en trojan-gebaseerde gekraakte builds – herinnert ons eraan dat malware een ecosysteem is. Zelfs als een oorspronkelijke auteur verdwijnt, kan zijn code door anderen worden geforkt, als wapen worden gebruikt en opnieuw worden ingezet. Verdedigers moeten zich daarom richten op veerkrachtige controles en detectiestrategieën die ervan uitgaan dat tegenstanders bestaande toolsets zullen hergebruiken en herverpakken.

    Trending

    Meest bekeken

    Bezig met laden...