Вредоносное ПО XWorm 6.0

Исследователи безопасности проследили развитие XWorm от компактной платформы для удалённого доступа до высокомодульной платформы, которую операторы используют для выполнения широкого спектра вредоносных операций на скомпрометированных хостах Windows. XWorm, впервые обнаруженный в 2022 году и связанный с группой под псевдонимом EvilCoder, активно разрабатывался и дорабатывался отдельными лицами, работавшими под псевдонимом XCoder (ведущий разработчик до середины 2024 года), а в последнее время и такими компаниями, как XCoderTools. Его постоянное развитие и повторное появление демонстрируют, насколько быстро инструмент может фрагментироваться, переупаковываться и снова выйти в открытый доступ.

Как устроен XWorm — ядро + плагины

Архитектура XWorm основана на небольшом клиенте, который обращается к серверу управления и контроля (C2) и большому набору подключаемых модулей, загружаемых в память по требованию. Такая архитектура позволяет операторам размещать облегченный клиент на хосте, динамически подгружая функциональные возможности (DLL) для выполнения определенных задач. Экосистема проекта также включает вспомогательные инструменты, продвигаемые разработчиками: сборщик вредоносных программ для .NET, отдельный RAT-агент XBinder и утилиту, которая пытается обойти контроль учетных записей Windows (UAC). Сообщество разработчиков XWorm рекламировало другие компоненты и поддельные установщики (в частности, вредоносные установщики ScreenConnect) в качестве приманок для распространения.

Цепи заражения и методы доставки

Исследователи наблюдали множество меняющихся схем заражения XWorm. Ранние цепочки основывались на фишинговых сообщениях, доставляющих файлы ярлыков Windows (LNK); LNK запускали PowerShell, который сбрасывал файлы-обманки (например, безобидный TXT) и обманный исполняемый файл (обычно маскирующийся под Discord), который в конечном итоге запускал настоящую полезную нагрузку. Более поздние кампании по распространению семейства 6.x использовали вредоносные вложения JavaScript в фишинговых письмах, которые отображали обманный PDF-файл и одновременно запускали фоновый PowerShell, внедряющий XWorm в легитимные процессы, такие как RegSvcs.exe, чтобы избежать обнаружения. Злоумышленники также распространяли взломанные или троянизированные версии компонентов XWorm через репозитории GitHub, файлообменные сайты, каналы Telegram и YouTube, пытаясь обманом заставить менее опытных операторов установить сборщики с бэкдорами.

Уклонение, дистанционное управление и функции оператора

XWorm интегрирует несколько антианализных проверок, которые прерывают выполнение при обнаружении признаков виртуализации или «песочницы». После активации клиент принимает команды от C2, охватывающие стандартные операции RAT (передача файлов, управление процессами и службами, выполнение команд оболочки, открытие URL), управление системой (завершение работы/перезапуск) и более агрессивные действия, такие как запуск DDoS-атак. Модульная модель плагинов позволяет удаленному оператору запускать более 35 различных DLL-файлов в памяти без их записи на диск, что обеспечивает XWorm гибкую поверхность атаки и сокращает количество следов, которые можно будет использовать для криминалистического анализа.

Протокол доставки плагинов

XWorm 6.x реализует протокол плагинов, основанный на хэшировании: C2 выдаёт команду «plugin», содержащую хэш SHA-256 запрошенной DLL-библиотеки и аргументы времени выполнения. Клиент проверяет, кэширован ли этот плагин; если нет, он запрашивает файл с помощью команды «sendplugin». Сервер отвечает командой «savePlugin», содержащей плагин в виде двоичного двоичного объекта (BLOB) в кодировке base64 и его хэш SHA-256. Клиент декодирует двоичный двоичный объект, проверяет хэш и загружает DLL-библиотеку непосредственно в память для выполнения.

Известные плагины и их функции

• RemoteDesktop.dll — устанавливает интерактивный удаленный сеанс.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — кража учетных данных и данных из ОС и приложений (ключи Windows, пароли Wi-Fi, учетные данные, сохраненные в браузере, включая обходы шифрования, привязанного к приложениям, и сборщики данных для FileZilla, Discord, Telegram, MetaMask).
• FileManager.dll — доступ к файловой системе и управление ею.
• Shell.dll — скрытое выполнение команд оператора через cmd.exe.
• Informations.dll — идентификация хоста/системы.
• Webcam.dll — захватывает изображения/видео с веб-камеры для подтверждения реальности жертвы.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — перечисляет сетевые подключения, активные окна и записи автозапуска.
• Ransomware.dll — процедуры шифрования/дешифрования файлов (использует общий код с программой-вымогателем в стиле NoCry).
• Rootkit.dll — устанавливает модифицированный руткит r77.
• ResetSurvival.dll — изменяет реестр Windows, чтобы обеспечить возможность восстановления после определенных сбросов устройства.

К другим вредоносным программам, распространяемым посредством заражения XWorm, относятся:

• Похититель темных облаков
• Hworm (VBS RAT)
• Snake KeyLogger
• Майнеры монет
• Чистое вредоносное ПО
• ShadowSniff (Rust-шпион, с открытым исходным кодом)
• Фантомный похититель
• Похититель фемедрона

• Ремкос РАТ

Оперативные неудачи, фрагментация и вооруженные вилки

Развитие XWorm не было линейным. Во второй половине 2024 года ник XCoder внезапно удалил своё присутствие в Telegram, поставив под сомнение будущее проекта. Однако этот перерыв породил неконтролируемую активность: взлом пакетов XWorm v5.6, которые сами были троянизированы для заражения других злоумышленников, а также кампании социальной инженерии, направленные на «скрипт-кидди» через GitHub и другие общедоступные каналы. По оценкам исследователей, в ходе этих кампаний были предприняты попытки скомпрометировать десятки тысяч устройств (по имеющимся данным, более 18 000).

Аналитики также обнаружили модифицированные форки, включая вариант XSPY (заявленное происхождение: вариант на китайском языке) и критическую уязвимость удалённого выполнения кода (RCE) в некоторых сборках, которая позволяла злоумышленнику, владеющему ключом шифрования C2, выполнить произвольный код на заражённых хостах. Фрагментация инструментария затрудняет атрибуцию и удаление; разные продавцы и форки могут появляться и исчезать независимо друг от друга.

Возрождение в 2025 году: XWorm 6.0 и активность на рынке

4 июня 2025 года компания XCoderTools опубликовала на форумах, посвящённых киберпреступности, XWorm 6.0 с пожизненным доступом по цене 500 долларов США, заявив, что релиз полностью перекодирован, а ранее выявленная уязвимость RCE исправлена. Неясно, был ли этот релиз выпущен оригинальным автором или третьей стороной, использующей бренд XWorm. Обнаруженные образцы XWorm 6.0 настроены на соединение с C2 по адресу 94.159.113[.]64 через порт 4411 и реализуют описанный выше протокол плагина, что обеспечивает быструю доставку десятков DLL-модулей в память.

Итог

Жизненный цикл XWorm — от активной разработки до отказа и повторного появления под опекой новых продавцов и троянизированных взломанных сборок — напоминает нам, что вредоносное ПО — это экосистема. Даже если оригинальный автор исчезает, его код может быть клонирован, использован в качестве оружия и повторно развернут другими. Поэтому специалистам по защите следует сосредоточиться на разработке устойчивых средств контроля и стратегий обнаружения, которые предполагают, что злоумышленники будут повторно использовать и переупаковывать существующие наборы инструментов.