XWorm 6.0 ਮਾਲਵੇਅਰ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ XWorm ਨੂੰ ਇੱਕ ਸੰਖੇਪ ਰਿਮੋਟ-ਐਕਸੈਸ ਫਰੇਮਵਰਕ ਤੋਂ ਇੱਕ ਬਹੁਤ ਹੀ ਮਾਡਿਊਲਰ ਪਲੇਟਫਾਰਮ ਵਿੱਚ ਲੱਭਿਆ ਹੈ ਜਿਸਨੂੰ ਓਪਰੇਟਰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਵਿੰਡੋਜ਼ ਹੋਸਟਾਂ 'ਤੇ ਖਤਰਨਾਕ ਕਾਰਵਾਈਆਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਚਲਾਉਣ ਲਈ ਵਰਤਦੇ ਹਨ। ਪਹਿਲੀ ਵਾਰ 2022 ਵਿੱਚ ਫਲੈਗ ਕੀਤਾ ਗਿਆ ਅਤੇ EvilCoder ਹੈਂਡਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਸਮੂਹ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ, XWorm ਨੂੰ XCoder (2024 ਦੇ ਮੱਧ ਤੱਕ ਲੀਡ ਡਿਵੈਲਪਰ) ਅਤੇ ਹਾਲ ਹੀ ਵਿੱਚ, XCoderTools ਵਰਗੇ ਵਿਕਰੇਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਦੁਆਰਾ ਸਰਗਰਮੀ ਨਾਲ ਵਿਕਸਤ ਅਤੇ ਦੁਬਾਰਾ ਕੰਮ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸਦਾ ਨਿਰੰਤਰ ਵਿਕਾਸ ਅਤੇ ਮੁੜ ਪ੍ਰਗਟ ਹੋਣਾ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਇੱਕ ਟੂਲ ਕਿੰਨੀ ਜਲਦੀ ਟੁਕੜੇ ਹੋ ਸਕਦਾ ਹੈ, ਦੁਬਾਰਾ ਪੈਕ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਜੰਗਲ ਵਿੱਚ ਦੁਬਾਰਾ ਦਾਖਲ ਹੋ ਸਕਦਾ ਹੈ।

XWorm ਕਿਵੇਂ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ — ਕੋਰ + ਪਲੱਗਇਨ

XWorm ਦਾ ਆਰਕੀਟੈਕਚਰ ਇੱਕ ਛੋਟੇ ਕਲਾਇੰਟ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ ਜੋ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਅਤੇ ਪਲੱਗ-ਇਨ ਪੇਲੋਡ ਦੇ ਇੱਕ ਵੱਡੇ ਸੈੱਟ ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ ਜੋ ਮੰਗ 'ਤੇ ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਡਿਜ਼ਾਈਨ ਓਪਰੇਟਰਾਂ ਨੂੰ ਹਲਕੇ ਕਲਾਇੰਟ ਨੂੰ ਇੱਕ ਹੋਸਟ 'ਤੇ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਜਦੋਂ ਕਿ ਗਤੀਸ਼ੀਲਤਾ (DLLs) ਨੂੰ ਖਾਸ ਕੰਮ ਕਰਨ ਲਈ ਧੱਕਦਾ ਹੈ। ਪ੍ਰੋਜੈਕਟ ਦੇ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਡਿਵੈਲਪਰਾਂ ਦੁਆਰਾ ਪ੍ਰਮੋਟ ਕੀਤੇ ਸਹਾਇਕ ਟੂਲ ਵੀ ਸ਼ਾਮਲ ਹਨ: ਇੱਕ .NET ਮਾਲਵੇਅਰ ਬਿਲਡਰ, XBinder ਨਾਮਕ ਇੱਕ ਵੱਖਰਾ RAT, ਅਤੇ ਇੱਕ ਉਪਯੋਗਤਾ ਜੋ Windows ਉਪਭੋਗਤਾ ਖਾਤਾ ਨਿਯੰਤਰਣ (UAC) ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੀ ਹੈ। XWorm ਦੇ ਆਲੇ ਦੁਆਲੇ ਡਿਵੈਲਪਰ ਭਾਈਚਾਰੇ ਨੇ ਵੰਡ ਦੇ ਲਾਲਚ ਵਜੋਂ ਹੋਰ ਹਿੱਸਿਆਂ ਅਤੇ ਨਕਲੀ ਸਥਾਪਕਾਂ (ਖਾਸ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ScreenConnect ਸਥਾਪਕਾਂ) ਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੱਤਾ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਡਿਲੀਵਰੀ ਤਕਨੀਕਾਂ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ XWorm ਲਈ ਕਈ, ਬਦਲਦੇ ਇਨਫੈਕਸ਼ਨ ਵਰਕਫਲੋ ਦੇਖੇ ਹਨ। ਸ਼ੁਰੂਆਤੀ ਚੇਨ ਫਿਸ਼ਿੰਗ ਸੁਨੇਹਿਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਸਨ ਜੋ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲਾਂ ਪ੍ਰਦਾਨ ਕਰਦੇ ਸਨ; LNKs ਨੇ PowerShell ਨੂੰ ਚਲਾਇਆ, ਜਿਸਨੇ ਡੀਕੋਏ ਫਾਈਲਾਂ (ਉਦਾਹਰਣ ਵਜੋਂ, ਇੱਕ ਨੁਕਸਾਨ ਰਹਿਤ TXT) ਅਤੇ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ (ਆਮ ਤੌਰ 'ਤੇ ਡਿਸਕਾਰਡ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦੇ ਹੋਏ) ਛੱਡੀਆਂ ਜੋ ਅੰਤ ਵਿੱਚ ਅਸਲ ਪੇਲੋਡ ਲਾਂਚ ਕਰਦੀਆਂ ਹਨ। 6.x ਪਰਿਵਾਰ ਨੂੰ ਵੰਡਣ ਵਾਲੀਆਂ ਹੋਰ ਹਾਲੀਆ ਮੁਹਿੰਮਾਂ ਨੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਵਿੱਚ ਖਤਰਨਾਕ JavaScript ਅਟੈਚਮੈਂਟਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ ਜੋ ਬੈਕਗ੍ਰਾਉਂਡ PowerShell ਨੂੰ ਚਲਾਉਂਦੇ ਹੋਏ ਇੱਕ ਡੀਕੋਏ PDF ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀਆਂ ਹਨ ਜੋ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ RegSvcs.exe ਵਰਗੀਆਂ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ XWorm ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ GitHub ਰਿਪੋਜ਼, ਫਾਈਲ-ਸ਼ੇਅਰਿੰਗ ਸਾਈਟਾਂ, ਟੈਲੀਗ੍ਰਾਮ ਚੈਨਲਾਂ ਅਤੇ YouTube ਰਾਹੀਂ XWorm ਕੰਪੋਨੈਂਟਸ ਦੇ ਕਰੈਕਡ ਜਾਂ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣਾਂ ਨੂੰ ਵੀ ਧੱਕਿਆ ਹੈ, ਘੱਟ ਹੁਨਰਮੰਦ ਓਪਰੇਟਰਾਂ ਨੂੰ ਬੈਕਡੋਰਡ ਬਿਲਡਰਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਹੈ।

ਚੋਰੀ, ਰਿਮੋਟ ਕੰਟਰੋਲ, ਅਤੇ ਆਪਰੇਟਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ

XWorm ਕਈ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਜਾਂਚਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ ਜੋ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਜਾਂ ਸੈਂਡਬੌਕਸ ਸੂਚਕਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ 'ਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਰੋਕ ਦਿੰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ, ਕਲਾਇੰਟ C2 ਤੋਂ ਕਮਾਂਡਾਂ ਸਵੀਕਾਰ ਕਰਦਾ ਹੈ ਜੋ ਆਮ RAT ਓਪਰੇਸ਼ਨਾਂ (ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ, ਪ੍ਰਕਿਰਿਆ ਅਤੇ ਸੇਵਾ ਹੇਰਾਫੇਰੀ, ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ, URL ਖੋਲ੍ਹਣਾ), ਸਿਸਟਮ ਨਿਯੰਤਰਣ (ਬੰਦ/ਰੀਸਟਾਰਟ), ਅਤੇ ਹੋਰ ਹਮਲਾਵਰ ਕਾਰਵਾਈਆਂ ਜਿਵੇਂ ਕਿ DDoS ਗਤੀਵਿਧੀ ਨੂੰ ਲਾਂਚ ਕਰਨਾ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ। ਮਾਡਿਊਲਰ ਪਲੱਗਇਨ ਮਾਡਲ ਇੱਕ ਰਿਮੋਟ ਓਪਰੇਟਰ ਨੂੰ ਡਿਸਕ 'ਤੇ ਲਿਖੇ ਬਿਨਾਂ ਮੈਮੋਰੀ ਵਿੱਚ 35 ਤੋਂ ਵੱਧ ਵੱਖ-ਵੱਖ DLL ਪੇਲੋਡ ਚਲਾਉਣ ਦਿੰਦਾ ਹੈ, XWorm ਨੂੰ ਫੋਰੈਂਸਿਕ ਟਰੇਸ ਨੂੰ ਘਟਾਉਂਦੇ ਹੋਏ ਇੱਕ ਲਚਕਦਾਰ ਹਮਲੇ ਦੀ ਸਤਹ ਦਿੰਦਾ ਹੈ।

ਪਲੱਗਇਨ ਡਿਲੀਵਰੀ ਪ੍ਰੋਟੋਕੋਲ

XWorm 6.x ਇੱਕ ਹੈਸ਼-ਫਸਟ ਪਲੱਗਇਨ ਪ੍ਰੋਟੋਕੋਲ ਲਾਗੂ ਕਰਦਾ ਹੈ: C2 ਇੱਕ 'ਪਲੱਗਇਨ' ਕਮਾਂਡ ਜਾਰੀ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਬੇਨਤੀ ਕੀਤੇ DLL ਅਤੇ ਰਨਟਾਈਮ ਆਰਗੂਮੈਂਟਾਂ ਦਾ SHA-256 ਹੈਸ਼ ਹੁੰਦਾ ਹੈ। ਕਲਾਇੰਟ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇਸ ਵਿੱਚ ਪਹਿਲਾਂ ਹੀ ਉਹ ਪਲੱਗਇਨ ਕੈਸ਼ ਕੀਤਾ ਹੋਇਆ ਹੈ; ਜੇਕਰ ਨਹੀਂ, ਤਾਂ ਇਹ 'sendplugin' ਨਾਲ ਫਾਈਲ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ। ਸਰਵਰ ਇੱਕ 'savePlugin' ਕਮਾਂਡ ਨਾਲ ਜਵਾਬ ਦਿੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਪਲੱਗਇਨ ਨੂੰ base64 ਬਲੌਬ ਅਤੇ ਇਸਦੇ SHA-256 ਹੈਸ਼ ਵਜੋਂ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ। ਕਲਾਇੰਟ ਬਲੌਬ ਨੂੰ ਡੀਕੋਡ ਕਰਦਾ ਹੈ, ਹੈਸ਼ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ, ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ DLL ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕਰਦਾ ਹੈ।

ਪ੍ਰਸਿੱਧ ਪਲੱਗਇਨ ਅਤੇ ਉਹ ਕੀ ਕਰਦੇ ਹਨ

• RemoteDesktop.dll — ਇੱਕ ਇੰਟਰਐਕਟਿਵ ਰਿਮੋਟ ਸੈਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — OS ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ (ਵਿੰਡੋਜ਼ ਕੁੰਜੀਆਂ, Wi‑Fi ਪਾਸਵਰਡ, ਬ੍ਰਾਊਜ਼ਰ-ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਐਪ-ਬਾਊਂਡ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਬਾਈਪਾਸ, ਅਤੇ FileZilla, Discord, Telegram, MetaMask ਲਈ ਹਾਰਵੈਸਟਰ) ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਤੇ ਡਾਟਾ ਚੋਰੀ।
• FileManager.dll — ਫਾਈਲ ਸਿਸਟਮ ਐਕਸੈਸ ਅਤੇ ਹੇਰਾਫੇਰੀ।
• Shell.dll — cmd.exe ਰਾਹੀਂ ਆਪਰੇਟਰ ਕਮਾਂਡਾਂ ਦਾ ਲੁਕਿਆ ਹੋਇਆ ਐਗਜ਼ੀਕਿਊਸ਼ਨ।
• Informations.dll — ਹੋਸਟ/ਸਿਸਟਮ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ।
• Webcam.dll — ਇੱਕ ਅਸਲੀ ਪੀੜਤ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਵੈਬਕੈਮ ਤਸਵੀਰਾਂ/ਵੀਡੀਓ ਕੈਪਚਰ ਕਰਦਾ ਹੈ।
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — ਨੈੱਟਵਰਕ ਕਨੈਕਸ਼ਨਾਂ, ਐਕਟਿਵ ਵਿੰਡੋਜ਼, ਅਤੇ ਆਟੋਸਟਾਰਟ ਐਂਟਰੀਆਂ ਦੀ ਗਿਣਤੀ ਕਰਦਾ ਹੈ।
• Ransomware.dll — ਫਾਈਲ ਇਨਕ੍ਰਿਪਸ਼ਨ/ਡਿਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ (NoCry-style ransomware ਨਾਲ ਕੋਡ ਸਾਂਝਾ ਕਰਦਾ ਹੈ)।
• Rootkit.dll — ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ r77 ਰੂਟਕਿੱਟ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
• ResetSurvival.dll — ਕੁਝ ਡਿਵਾਈਸ ਰੀਸੈਟ ਤੋਂ ਬਚਣ ਲਈ Windows ਰਜਿਸਟਰੀ ਨੂੰ ਸੋਧਦਾ ਹੈ।

XWorm ਇਨਫੈਕਸ਼ਨਾਂ ਰਾਹੀਂ ਵੰਡੇ ਗਏ ਹੋਰ ਮਾਲਵੇਅਰ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਡਾਰਕ ਕਲਾਉਡ ਸਟੀਲਰ
• ਐੱਚਵਰਮ (VBS RAT)
• ਸੱਪ ਕੀਲੌਗਰ
• ਸਿੱਕਾ ਖਾਣ ਵਾਲੇ
• ਸ਼ੁੱਧ ਮਾਲਵੇਅਰ
• ਸ਼ੈਡੋ ਸਨਿਫ (ਜੰਗਾਲ ਚੋਰੀ ਕਰਨ ਵਾਲਾ, ਓਪਨ-ਸੋਰਸ)
• ਫੈਂਟਮ ਸਟੀਲਰ
• ਫੇਮੇਡਰੋਨ ਸਟੀਲਰ

ਕਾਰਜਸ਼ੀਲ ਝਟਕੇ, ਖੰਡਨ, ਅਤੇ ਹਥਿਆਰਬੰਦ ਕਾਂਟੇ

XWorm ਦਾ ਵਿਕਾਸ ਰੇਖਿਕ ਨਹੀਂ ਰਿਹਾ ਹੈ। 2024 ਦੇ ਦੂਜੇ ਅੱਧ ਵਿੱਚ, XCoder ਨਾਮਕ ਵਿਅਕਤੀ ਨੇ ਅਚਾਨਕ ਆਪਣੀ ਟੈਲੀਗ੍ਰਾਮ ਮੌਜੂਦਗੀ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ, ਜਿਸ ਨਾਲ ਪ੍ਰੋਜੈਕਟ ਦੇ ਭਵਿੱਖ 'ਤੇ ਸ਼ੱਕ ਪੈਦਾ ਹੋਇਆ। ਹਾਲਾਂਕਿ, ਉਸ ਪਾੜੇ ਨੇ ਮੌਕਾਪ੍ਰਸਤ ਗਤੀਵਿਧੀ ਨੂੰ ਜਨਮ ਦਿੱਤਾ: XWorm v5.6 ਪੈਕੇਜਾਂ ਨੂੰ ਤੋੜਿਆ ਗਿਆ ਜੋ ਆਪਣੇ ਆਪ ਵਿੱਚ ਹੋਰ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਟ੍ਰੋਜਨਾਈਜ਼ ਕੀਤੇ ਗਏ ਸਨ, ਅਤੇ GitHub ਅਤੇ ਹੋਰ ਜਨਤਕ ਚੈਨਲਾਂ ਰਾਹੀਂ 'ਸਕ੍ਰਿਪਟ ਬੱਚਿਆਂ' ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਮੁਹਿੰਮਾਂ - ਉਹ ਮੁਹਿੰਮਾਂ ਜਿਨ੍ਹਾਂ ਦਾ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਅਨੁਮਾਨ ਹੈ ਕਿ ਹਜ਼ਾਰਾਂ ਡਿਵਾਈਸਾਂ (ਰਿਪੋਰਟ ਅਨੁਸਾਰ 18,000 ਤੋਂ ਵੱਧ) ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਗਈ ਸੀ।

ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੂੰ ਸੋਧੇ ਹੋਏ ਫੋਰਕ ਵੀ ਮਿਲੇ, ਜਿਸ ਵਿੱਚ XSPY (ਰਿਪੋਰਟ ਕੀਤਾ ਮੂਲ: ਚੀਨੀ-ਭਾਸ਼ਾ ਰੂਪ) ਲੇਬਲ ਵਾਲਾ ਇੱਕ ਰੂਪ ਅਤੇ ਕੁਝ ਬਿਲਡਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਕਮਜ਼ੋਰੀ ਸ਼ਾਮਲ ਹੈ ਜਿਸਨੇ C2 ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਰੱਖਣ ਵਾਲੇ ਕਿਸੇ ਵਿਅਕਤੀ ਨੂੰ ਸੰਕਰਮਿਤ ਹੋਸਟਾਂ 'ਤੇ ਮਨਮਾਨੇ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੱਤੀ। ਟੂਲਕਿੱਟ ਦਾ ਫ੍ਰੈਗਮੈਂਟੇਸ਼ਨ ਐਟ੍ਰਬਿਊਸ਼ਨ ਅਤੇ ਟੇਕਡਾਊਨ ਨੂੰ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦਾ ਹੈ; ਵੱਖ-ਵੱਖ ਵਿਕਰੇਤਾ ਅਤੇ ਫੋਰਕ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਦਿਖਾਈ ਦੇ ਸਕਦੇ ਹਨ ਅਤੇ ਅਲੋਪ ਹੋ ਸਕਦੇ ਹਨ।

2025 ਦੀ ਪੁਨਰ-ਸਰਫੇਸਿੰਗ: XWorm 6.0 ਅਤੇ ਮਾਰਕੀਟਪਲੇਸ ਗਤੀਵਿਧੀ

4 ਜੂਨ, 2025 ਨੂੰ, ਆਪਣੇ ਆਪ ਨੂੰ XCoderTools ਕਹਿਣ ਵਾਲੇ ਇੱਕ ਵਿਕਰੇਤਾ ਨੇ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਫੋਰਮਾਂ 'ਤੇ XWorm 6.0 ਪੋਸਟ ਕੀਤਾ ਜਿਸਦੀ ਕੀਮਤ $500 ਲਾਈਫਟਾਈਮ ਐਕਸੈਸ ਲਈ ਸੀ, ਇਹ ਦਾਅਵਾ ਕਰਦੇ ਹੋਏ ਕਿ ਰੀਲੀਜ਼ ਪੂਰੀ ਤਰ੍ਹਾਂ ਰੀ-ਕੋਡ ਕੀਤੀ ਗਈ ਸੀ ਅਤੇ ਪਹਿਲਾਂ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ RCE ਨੁਕਸ ਨੂੰ ਠੀਕ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਇਹ ਸਪੱਸ਼ਟ ਨਹੀਂ ਹੈ ਕਿ ਇਹ ਰੀਲੀਜ਼ ਅਸਲ ਲੇਖਕ ਤੋਂ ਆਈ ਸੀ ਜਾਂ XWorm ਬ੍ਰਾਂਡ ਦਾ ਲਾਭ ਉਠਾਉਣ ਵਾਲੀ ਕਿਸੇ ਤੀਜੀ ਧਿਰ ਤੋਂ। ਦੇਖੇ ਗਏ XWorm 6.0 ਨਮੂਨੇ ਪੋਰਟ 4411 'ਤੇ 94.159.113[.]64 'ਤੇ C2 ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਅਤੇ ਉੱਪਰ ਦੱਸੇ ਗਏ ਪਲੱਗਇਨ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤੇ ਗਏ ਹਨ, ਜਿਸ ਨਾਲ ਦਰਜਨਾਂ DLL ਮੋਡੀਊਲਾਂ ਦੀ ਤੇਜ਼, ਇਨ-ਮੈਮੋਰੀ ਡਿਲੀਵਰੀ ਸੰਭਵ ਹੋ ਜਾਂਦੀ ਹੈ।

ਸਿੱਟਾ

XWorm ਦਾ ਜੀਵਨ ਚੱਕਰ — ਸਰਗਰਮ ਵਿਕਾਸ ਤੋਂ ਲੈ ਕੇ ਤਿਆਗ ਤੋਂ ਲੈ ਕੇ ਨਵੇਂ ਵਿਕਰੇਤਾਵਾਂ ਅਤੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਕ੍ਰੈਕਡ ਬਿਲਡਾਂ ਦੇ ਅਧੀਨ ਮੁੜ ਪ੍ਰਗਟ ਹੋਣ ਤੱਕ — ਇੱਕ ਯਾਦ ਦਿਵਾਉਂਦਾ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਇੱਕ ਈਕੋਸਿਸਟਮ ਹੈ। ਭਾਵੇਂ ਇੱਕ ਅਸਲੀ ਲੇਖਕ ਗਾਇਬ ਹੋ ਜਾਂਦਾ ਹੈ, ਉਹਨਾਂ ਦੇ ਕੋਡ ਨੂੰ ਫੋਰਕ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਹਥਿਆਰਬੰਦ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਦੂਜਿਆਂ ਦੁਆਰਾ ਦੁਬਾਰਾ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਸ ਲਈ ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਲਚਕੀਲੇ ਨਿਯੰਤਰਣਾਂ ਅਤੇ ਖੋਜ ਰਣਨੀਤੀਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਮੰਨਦੇ ਹਨ ਕਿ ਵਿਰੋਧੀ ਮੌਜੂਦਾ ਟੂਲਸੈੱਟਾਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਅਤੇ ਦੁਬਾਰਾ ਪੈਕ ਕਰਨਗੇ।