Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programul malware XWorm 6.0

Programul malware XWorm 6.0

Până în Mezo în Programe malware, Viermi
Tradu in:

Cercetătorii în domeniul securității au urmărit XWorm dintr-un framework compact de acces la distanță, într-o platformă extrem de modulară, utilizată de operatori pentru a rula o gamă largă de operațiuni rău intenționate pe gazdele Windows compromise. Semnalat pentru prima dată în 2022 și asociat unui grup folosind pseudonimul EvilCoder, XWorm a fost dezvoltat și reelaborat activ de către persoane care utilizează personajele XCoder (dezvoltator principal până la mijlocul anului 2024) și, mai recent, de către vânzători precum XCoderTools. Evoluția și reapariția sa continuă demonstrează cât de repede se poate fragmenta, reîmpacheta și reintra în uz un instrument.

Cum este construit XWorm — Nucleu + Pluginuri

Arhitectura XWorm se concentrează pe un client mic care se conectează la un server Command-and-Control (C2) și un set mare de module utile de plugin-uri care sunt încărcate în memorie la cerere. Designul permite operatorilor să păstreze clientul ușor pe o gazdă, în timp ce împing dinamic funcționalități (DLL-uri) pentru a îndeplini sarcini specifice. Ecosistemul proiectului a inclus, de asemenea, instrumente auxiliare promovate de dezvoltatori: un constructor de malware .NET, un RAT separat numit XBinder și un utilitar care încearcă să ocolească Controlul contului de utilizator Windows (UAC). Comunitatea de dezvoltatori din jurul XWorm a promovat alte componente și programe de instalare false (în special programe de instalare ScreenConnect rău intenționate) ca momeală pentru distribuție.

Lanțuri de infecție și tehnici de livrare

Cercetătorii au observat fluxuri de lucru multiple și schimbătoare de infectare pentru XWorm. Primele lanțuri se bazau pe mesaje de phishing care livrau fișiere de comenzi rapide Windows (LNK); LNK-urile executau PowerShell, care lansa fișiere capcană (de exemplu, un TXT inofensiv) și un executabil înșelător (de obicei mascat ca Discord) care în cele din urmă lansa sarcina utilă reală. Campanii mai recente care distribuie familia 6.x au folosit atașamente JavaScript malițioase în e-mailuri de phishing care afișează un PDF capcană în timp ce execută PowerShell în fundal, injectând XWorm în procese legitime, cum ar fi RegSvcs.exe, pentru a evita detectarea. Actorii amenințători au distribuit, de asemenea, versiuni piratate sau troianizate ale componentelor XWorm prin intermediul depozitelor GitHub, site-urilor de partajare a fișierelor, canalelor Telegram și YouTube, încercând să păcălească operatori mai puțin calificați să instaleze buildere backdoor.

Funcții de evaziune, control de la distanță și operator

XWorm integrează multiple verificări anti-analiză care anulează execuția atunci când detectează indicatori de virtualizare sau sandbox. Odată activ, clientul acceptă comenzi de la C2 care acoperă operațiuni RAT comune (transfer de fișiere, manipulare de procese și servicii, executarea comenzilor shell, deschiderea URL-urilor), controlul sistemului (oprire/repornire) și acțiuni mai agresive, cum ar fi lansarea activității DDoS. Modelul modular de pluginuri permite unui operator la distanță să ruleze peste 35 de sarcini utile DLL diferite în memorie fără a le scrie pe disc, oferind XWorm o suprafață de atac flexibilă, reducând în același timp urmele criminalistice.

Protocol de livrare a pluginurilor

XWorm 6.x implementează un protocol de plugin hash-first: C2 emite o comandă „plugin” care conține hash-ul SHA-256 al DLL-ului solicitat plus argumentele de execuție. Clientul verifică dacă are deja plugin-ul respectiv în cache; dacă nu, solicită fișierul cu „sendplugin”. Serverul răspunde cu o comandă „savePlugin” care conține plugin-ul ca un blob base64 și hash-ul său SHA-256. Clientul decodează blob-ul, verifică hash-ul și încarcă DLL-ul direct în memorie pentru execuție.

Pluginuri notabile și ce fac acestea

  • RemoteDesktop.dll — stabilește o sesiune interactivă la distanță.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — furt de acreditări și date din sistemul de operare și aplicații (chei Windows, parole Wi-Fi, acreditări stocate în browser, inclusiv ocoliri pentru criptarea aplicațiilor și programe de colectare pentru FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — acces la sistemul de fișiere și manipulare.
  • Shell.dll — executarea ascunsă a comenzilor operatorului prin cmd.exe.
  • Informations.dll — amprentare a gazdei/sistemului.
  • Webcam.dll — capturează imagini/video de pe camera web pentru a confirma o victimă reală.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — enumeră conexiunile de rețea, ferestrele active și intrările de pornire automată.
  • Ransomware.dll — rutine de criptare/decriptare a fișierelor (partajează cod cu ransomware de tip NoCry).
  • Rootkit.dll — instalează un rootkit r77 modificat.
  • ResetSurvival.dll — modifică Registrul Windows pentru a supraviețui anumitor resetări ale dispozitivului.

Alte programe malware distribuite prin infecții XWorm includ:

  • Hoțul de nori întunecați
  • Vierme de gheață (VBS RAT)
  • Snake KeyLogger
  • Mineri de monede
  • Malware pur
  • ShadowSniff (Hoț de rugină, open-source)
  • Hoțul Fantomă
  • Hoț de fenedrone
  • Remcos RAT

Dificultăți operaționale, fragmentare și furci armate

Dezvoltarea XWorm nu a fost liniară. În a doua jumătate a anului 2024, persona XCoder și-a șters brusc prezența pe Telegram, punând la îndoială viitorul proiectului. Această pauză, însă, a generat activitate oportunistă: pachete XWorm v5.6 sparte, care au fost ele însele troienite pentru a infecta alți actori amenințători și campanii de inginerie socială care vizează „script kiddies” prin GitHub și alte canale publice - campanii despre care cercetătorii estimează că au încercat să compromită zeci de mii de dispozitive (se pare că peste 18.000).

Analiștii au descoperit, de asemenea, furci modificate, inclusiv o variantă etichetată XSPY (origine raportată: variantă în limba chineză) și o vulnerabilitate critică de execuție a codului la distanță (RCE) în unele versiuni, care permitea cuiva care deținea cheia de criptare C2 să execute cod arbitrar pe gazdele infectate. Fragmentarea setului de instrumente face atribuirea și eliminarea mai dificile; diferiți vânzători și furci pot apărea și dispărea independent.

Refacerea din 2025: XWorm 6.0 și activitatea de pe piață

Pe 4 iunie 2025, un furnizor care se autointitulează XCoderTools a publicat XWorm 6.0 pe forumuri despre criminalitatea cibernetică, la prețul de 500 USD pentru acces pe viață, susținând că versiunea a fost complet recodificată și că defectul RCE raportat anterior a fost remediat. Nu este clar dacă această versiune a provenit de la autorul original sau de la o terță parte care utilizează marca XWorm. Mostrele XWorm 6.0 observate sunt configurate să contacteze un C2 la adresa 94.159.113[.]64 pe portul 4411 și să implementeze protocolul plugin descris mai sus, permițând livrarea rapidă, în memorie, a zeci de module DLL.

Concluzie

Ciclul de viață al XWorm - de la dezvoltarea activă, prin abandonare și reapariție sub conducerea unor noi vânzători și a unor versiuni piratate, transformate în troieni - este o reamintire a faptului că programele malware reprezintă un ecosistem. Chiar dacă un autor original dispare, codul său poate fi bifurcat, transformat în armă și redistribuit de alții. Prin urmare, apărătorii trebuie să se concentreze pe controale rezistente și strategii de detectare care presupun că adversarii vor reutiliza și reîmpacheta seturile de instrumente existente.

Trending

Versiunea căsuței dvs. poștale va fi întreruptă -...

phishing, Spam
Escrocii online dezvoltă în mod constant noi trucuri pentru a înșela utilizatorii și a fura date valoroase. Un astfel de exemplu este înșelătoria „Versiunea căsuței poștale va fi întreruptă”, o campanie de phishing concepută pentru a colecta datele de autentificare de la victime neașteptate. Experții în securitate cibernetică avertizează că aceste mesaje frauduloase nu sunt asociate cu nicio...

Cele mai văzute

Se încarcă...