Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie XWorm 6.0 Malware

XWorm 6.0 Malware

Do Mezo w Złośliwe oprogramowanie, Robaki
Przetłumacz na:

Badacze bezpieczeństwa prześledzili rozwój XWorma, od kompaktowego systemu zdalnego dostępu do wysoce modułowej platformy, której operatorzy używają do przeprowadzania szerokiej gamy złośliwych operacji na zainfekowanych hostach Windows. Po raz pierwszy oznaczony w 2022 roku i powiązany z grupą o nicku EvilCoder, XWorm był aktywnie rozwijany i przerabiany przez osoby posługujące się pseudonimem XCoder (główny programista do połowy 2024 roku), a ostatnio przez sprzedawców, takich jak XCoderTools. Jego ciągła ewolucja i ponowne pojawienie się pokazują, jak szybko narzędzie może ulec fragmentacji, zostać przepakowane i ponownie udostępnione.

Jak zbudowany jest XWorm — rdzeń + wtyczki

Architektura XWorma opiera się na niewielkim kliencie, który komunikuje się z serwerem Command-and-Control (C2) oraz dużym zbiorze pakietów wtyczek, ładowanych do pamięci na żądanie. Konstrukcja pozwala operatorom na utrzymanie lekkiego klienta na hoście, jednocześnie dynamicznie wdrażając funkcjonalność (biblioteki DLL) w celu wykonania określonych zadań. Ekosystem projektu zawiera również narzędzia pomocnicze promowane przez deweloperów: kreator złośliwego oprogramowania .NET, osobną aplikację RAT o nazwie XBinder oraz narzędzie próbujące ominąć Kontrolę konta użytkownika systemu Windows (UAC). Społeczność deweloperów skupiona wokół XWorma reklamowała inne komponenty i fałszywe instalatory (w szczególności złośliwe instalatory ScreenConnect) jako przynętę do dystrybucji.

Łańcuchy zakażeń i techniki dostarczania

Badacze zaobserwowali wiele zmieniających się schematów infekcji wirusem XWorm. Wczesne łańcuchy ataków opierały się na wiadomościach phishingowych dostarczających pliki skrótów systemu Windows (LNK); pliki LNK uruchamiały program PowerShell, który podrzucał pliki-pułapki (na przykład nieszkodliwy plik TXT) oraz zwodniczy plik wykonywalny (często podszywający się pod Discord), który ostatecznie uruchamiał prawdziwy ładunek. Nowsze kampanie rozprzestrzeniające rodzinę 6.x wykorzystywały złośliwe załączniki JavaScript w wiadomościach phishingowych, które wyświetlały plik PDF-a, jednocześnie uruchamiając w tle program PowerShell, który wstrzykuje wirusa XWorm do legalnych procesów, takich jak RegSvcs.exe, aby uniknąć wykrycia. Aktorzy zagrożeń rozpowszechniali również złamane lub zainfekowane trojanami wersje komponentów XWorm za pośrednictwem repozytoriów GitHub, serwisów wymiany plików, kanałów Telegram i YouTube, próbując nakłonić mniej doświadczonych użytkowników do zainstalowania programów typu backdoor.

Funkcje unikania, zdalnego sterowania i operatora

XWorm integruje wiele mechanizmów antyanalizy, które przerywają działanie po wykryciu wskaźników wirtualizacji lub sandboxa. Po aktywacji klient akceptuje polecenia z C2, które obejmują typowe operacje RAT (transfer plików, manipulację procesami i usługami, wykonywanie poleceń powłoki, otwieranie adresów URL), kontrolę systemu (zamykanie/restart) oraz bardziej agresywne działania, takie jak uruchamianie ataków DDoS. Modułowy model wtyczek pozwala zdalnemu operatorowi uruchamiać ponad 35 różnych pakietów DLL w pamięci bez zapisywania ich na dysku, co daje XWormowi elastyczną powierzchnię ataku, jednocześnie redukując ślady kryminalistyczne.

Protokół dostarczania wtyczek

XWorm 6.x implementuje protokół wtyczki hash‑first: serwer C2 wysyła polecenie „plugin” zawierające skrót SHA‑256 żądanej biblioteki DLL oraz argumenty środowiska wykonawczego. Klient sprawdza, czy wtyczka jest już w pamięci podręcznej; jeśli nie, żąda pliku poleceniem „sendplugin”. Serwer odpowiada poleceniem „savePlugin”, przenosząc wtyczkę jako blob base64 i jego skrót SHA‑256. Klient dekoduje blob, weryfikuje skrót i ładuje bibliotekę DLL bezpośrednio do pamięci w celu wykonania.

Znane wtyczki i ich działanie

  • RemoteDesktop.dll — ustanawia interaktywną sesję zdalną.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — kradzież poświadczeń i danych z systemu operacyjnego i aplikacji (klucze systemu Windows, hasła Wi‑Fi, poświadczenia przechowywane w przeglądarce, w tym obejścia szyfrowania powiązanego z aplikacją oraz narzędzia do gromadzenia danych dla FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — dostęp do systemu plików i manipulowanie nim.
  • Shell.dll — ukryte wykonywanie poleceń operatora za pomocą cmd.exe.
  • Informations.dll — odcisk palca hosta/systemu.
  • Webcam.dll — przechwytuje obrazy/wideo z kamery internetowej w celu potwierdzenia, czy ofiara jest prawdziwa.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — wylicza połączenia sieciowe, aktywne okna i wpisy autostartu.
  • Ransomware.dll — procedury szyfrowania/odszyfrowywania plików (współdzielą kod z ransomware w stylu NoCry).
  • Rootkit.dll — instaluje zmodyfikowany rootkit r77.
  • ResetSurvival.dll — modyfikuje rejestr systemu Windows, aby przetrwał niektóre resety urządzeń.

Inne złośliwe oprogramowanie rozprzestrzeniane za pośrednictwem infekcji XWorm obejmują:

  • Złodziej Ciemnej Chmury
  • Robak (szczur VBS)
  • Snake KeyLogger
  • Górnicy monet
  • Czyste złośliwe oprogramowanie
  • ShadowSniff (złodziej rdzy, oprogramowanie typu open source)
  • Złodziej Fantomowy
  • Złodziej femedronu
  • Remcos RAT

    • Niepowodzenia operacyjne, fragmentacja i uzbrojone widełki

    Rozwój XWorma nie przebiegał liniowo. W drugiej połowie 2024 roku osoba o pseudonimie XCoder nagle usunęła swoją obecność na Telegramie, co podważyło przyszłość projektu. Ta luka zrodziła jednak działania oportunistyczne: złamane pakiety XWorma w wersji 5.6, które same zostały zainfekowane trojanami, aby zainfekować inne zagrożenia, oraz kampanie socjotechniczne wymierzone w „script kiddies” za pośrednictwem GitHuba i innych kanałów publicznych – kampanie, które według szacunków badaczy miały na celu zainfekowanie dziesiątek tysięcy urządzeń (podobno ponad 18 000).

    Analitycy odkryli również zmodyfikowane forki, w tym wariant oznaczony jako XSPY (podawane pochodzenie: wariant chińskojęzyczny) oraz krytyczną lukę umożliwiającą zdalne wykonanie kodu (RCE) w niektórych kompilacjach, która umożliwiała osobie posiadającej klucz szyfrujący C2 wykonanie dowolnego kodu na zainfekowanych hostach. Fragmentacja zestawu narzędzi utrudnia atrybucję i usuwanie; różni sprzedawcy i forki mogą pojawiać się i znikać niezależnie.

    Odnowienie w 2025 roku: XWorm 6.0 i aktywność na rynku

    4 czerwca 2025 roku producent podszywający się pod XCoderTools opublikował na forach cyberprzestępców wersję XWorm 6.0 w cenie 500 dolarów za dożywotni dostęp, twierdząc, że wydanie zostało całkowicie przekodowane, a wcześniej zgłoszona luka RCE została naprawiona. Nie jest jasne, czy to wydanie pochodziło od pierwotnego autora, czy od firmy zewnętrznej wykorzystującej markę XWorm. Zaobserwowane próbki XWorm 6.0 są skonfigurowane do kontaktu z serwerem C2 pod adresem 94.159.113[.]64 na porcie 4411 i implementują opisany powyżej protokół wtyczki, umożliwiając szybkie dostarczanie dziesiątek modułów DLL do pamięci.

    Podsumowanie

    Cykl życia XWorma – od aktywnego rozwoju, przez porzucenie, po ponowne pojawienie się w nowych dystrybucjach i trojanizowanych, złamanych kompilacjach – przypomina, że złośliwe oprogramowanie to ekosystem. Nawet jeśli pierwotny autor zniknie, jego kod może zostać rozwidlony, uzbrojony i ponownie wdrożony przez innych. Osoby odpowiedzialne za obronę muszą zatem skupić się na odpornych mechanizmach kontroli i strategiach wykrywania, które zakładają, że przeciwnicy będą ponownie wykorzystywać i przepakowywać istniejące zestawy narzędzi.

    Popularne

    Oszustwo „Wersja Twojej skrzynki pocztowej zostanie...

    Phishing, Spam
    Oszuści internetowi nieustannie opracowują nowe sztuczki, aby oszukiwać użytkowników i kraść cenne dane. Jednym z takich przykładów jest oszustwo „Version Of Your Mailbox Will Be Discontinued”, kampania phishingowa mająca na celu wyłudzenie danych logowania od niczego niepodejrzewających ofiar. Eksperci ds. cyberbezpieczeństwa ostrzegają, że te fałszywe wiadomości nie są powiązane z żadnymi...

    Najczęściej oglądane

    Ładowanie...