Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér XWorm 6.0

Škodlivý softvér XWorm 6.0

Do roku Mezo v roku Malvér, Červy
Preložiť do:

Bezpečnostní výskumníci vystopovali XWorm z kompaktného rámca pre vzdialený prístup na vysoko modulárnu platformu, ktorú operátori používajú na spustenie širokej škály škodlivých operácií na napadnutých hostiteľoch so systémom Windows. XWorm, ktorý bol prvýkrát označený v roku 2022 a prepojený so skupinou pomocou prezývky EvilCoder, aktívne vyvíjali a prepracovávali jednotlivci používajúci persony XCoder (hlavný vývojár do polovice roka 2024) a v poslednom čase aj predajcovia ako XCoderTools. Jeho neustály vývoj a opätovné objavenie sa demonštrujú, ako rýchlo sa nástroj môže fragmentovať, prebaľovať a opäť dostať do voľnej prírody.

Ako je XWorm zostavený — jadro + pluginy

Architektúra XWormu sa zameriava na malého klienta, ktorý komunikuje so serverom Command-and-Control (C2), a veľkú sadu doplnkov, ktoré sa načítavajú do pamäte na požiadanie. Tento dizajn umožňuje operátorom ponechať ľahkého klienta na hostiteľovi a zároveň dynamicky nasadzovať funkcie (DLL) na vykonávanie špecifických úloh. Ekosystém projektu zahŕňa aj pomocné nástroje propagované vývojármi: nástroj na tvorbu škodlivého softvéru pre .NET, samostatný nástroj RAT s názvom XBinder a nástroj, ktorý sa pokúša obísť kontrolu používateľských kont systému Windows (UAC). Komunita vývojárov okolo XWormu propaguje ďalšie komponenty a falošné inštalátory (najmä škodlivé inštalátory ScreenConnect) ako lákadlá na distribúciu.

Reťazce infekcie a techniky jej prenosu

Výskumníci pozorovali viacero, meniacich sa pracovných postupov pri infekcii vírusom XWorm. Prvé reťazce sa spoliehali na phishingové správy, ktoré doručovali súbory skratiek systému Windows (LNK); súbory LNK spúšťali PowerShell, ktorý umiestňoval návnadové súbory (napríklad neškodný TXT) a klamlivý spustiteľný súbor (bežne maskovaný ako Discord), ktorý nakoniec spúšťal skutočný prenos. Novšie kampane distribuujúce rodinu vírusov 6.x používali škodlivé prílohy JavaScript v phishingových e-mailoch, ktoré zobrazovali návnadový PDF súbor, zatiaľ čo spúšťali PowerShell na pozadí, ktorý vstrekuje XWorm do legitímnych procesov, ako je RegSvcs.exe, aby sa vyhli odhaleniu. Aktéri hrozby tiež presúvali cracknuté alebo trójske verzie komponentov XWorm prostredníctvom repozitárov GitHub, stránok na zdieľanie súborov, kanálov Telegram a YouTube v snahe oklamať menej skúsených operátorov, aby nainštalovali backdoorové buildery.

Funkcie úniku, diaľkového ovládania a operátora

XWorm integruje viacero antianalytických kontrol, ktoré prerušia vykonávanie, keď zistí indikátory virtualizácie alebo sandboxu. Po aktivácii klient prijíma príkazy z C2, ktoré pokrývajú bežné operácie RAT (prenos súborov, manipulácia s procesmi a službami, vykonávanie príkazov shellu, otváranie URL), ovládanie systému (vypnutie/reštart) a agresívnejšie akcie, ako je spustenie DDoS aktivity. Modulárny model pluginov umožňuje vzdialenému operátorovi spustiť viac ako 35 rôznych dátových súborov DLL v pamäti bez ich zápisu na disk, čo poskytuje XWormu flexibilný povrch pre útok a zároveň znižuje forenzné stopy.

Protokol doručovania doplnkov

XWorm 6.x implementuje protokol pluginov typu hash first: C2 vydá príkaz „plugin“, ktorý obsahuje SHA-256 hash požadovanej knižnice DLL a argumenty za behu. Klient skontroluje, či už má daný plugin uložený vo vyrovnávacej pamäti; ak nie, vyžiada si súbor s príkazom „sendplugin“. Server odpovie príkazom „savePlugin“, ktorý obsahuje plugin ako base64 blob a jeho SHA-256 hash. Klient dekóduje blob, overí hash a načíta knižnicu DLL priamo do pamäte na spustenie.

Pozoruhodné pluginy a čo robia

  • RemoteDesktop.dll – nadväzuje interaktívnu vzdialenú reláciu.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll – krádež poverení a údajov z operačného systému a aplikácií (kľúče systému Windows, heslá Wi-Fi, poverenia uložené v prehliadači vrátane obídení šifrovania viazaného na aplikáciu a zberačov údajov pre FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — prístup k súborovému systému a manipulácia s ním.
  • Shell.dll — skryté vykonávanie príkazov operátora prostredníctvom cmd.exe.
  • Informations.dll — odtlačky prstov hostiteľa/systému.
  • Webcam.dll – zachytáva obrázky/video z webkamery na potvrdenie skutočnej obete.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – vymenúva sieťové pripojenia, aktívne okná a položky automatického spustenia.
  • Ransomware.dll – rutiny na šifrovanie/dešifrovanie súborov (zdieľa kód s ransomvérom v štýle NoCry).
  • Rootkit.dll – nainštaluje upravený rootkit r77.
  • ResetSurvival.dll – upravuje register systému Windows tak, aby prežil určité resety zariadení.

Medzi ďalšie škodlivé programy šírené prostredníctvom infekcií XWorm patria:

  • Zlodej DarkCloudu
  • Hčerv (VBS RAT)
  • Snake KeyLogger
  • Ťažiari mincí
  • Čistý malvér
  • ShadowSniff (kradca hrdze, open-source)
  • Fantómový zlodej
  • Zlodej femedrónu
  • Remcos RAT

Operačné prekážky, fragmentácia a ozbrojené vidlice

Vývoj XWormu nebol lineárny. V druhej polovici roka 2024 persona XCoder náhle vymazala svoju prítomnosť v Telegrame, čo vrhlo pochybnosti na budúcnosť projektu. Táto medzera však priniesla oportunistickú aktivitu: prelomené balíčky XWormu v5.6, ktoré boli samy osebe infikované trójskymi koňmi, aby infikovali iných aktérov hrozby, a kampane sociálneho inžinierstva zamerané na „script kiddies“ prostredníctvom GitHubu a iných verejných kanálov – kampane, ktoré sa podľa odhadov výskumníkov pokúsili kompromitovať desiatky tisíc zariadení (údajne viac ako 18 000).

Analytici tiež objavili upravené forky vrátane variantu označeného XSPY (uvedený pôvod: čínsky variant) a kritickú slabinu pre vzdialené spustenie kódu (RCE) v niektorých zostaveniach, ktorá umožňovala niekomu s šifrovacím kľúčom C2 spustiť ľubovoľný kód na infikovaných hostiteľoch. Fragmentácia sady nástrojov sťažuje priradenie a odstraňovanie; rôzni predajcovia a forky sa môžu objaviť a zmiznúť nezávisle od seba.

Obnova v roku 2025: XWorm 6.0 a aktivita na trhu

4. júna 2025 zverejnil predajca, ktorý si hovorí XCoderTools, na fórach o kyberkriminalite verziu XWorm 6.0 s cenou 500 dolárov za doživotný prístup s tvrdením, že vydanie bolo kompletne prekódované a že predtým hlásená chyba RCE bola opravená. Nie je jasné, či toto vydanie pochádza od pôvodného autora alebo od tretej strany využívajúcej značku XWorm. Pozorované vzorky XWorm 6.0 sú nakonfigurované tak, aby kontaktovali C2 na adrese 94.159.113[.]64 na porte 4411 a implementovali protokol pluginu opísaný vyššie, čo umožňuje rýchle doručovanie desiatok DLL modulov do pamäte.

Zrátané a podčiarknuté

Životný cyklus vírusu XWorm – od aktívneho vývoja cez opustenie až po opätovné objavenie sa pod vplyvom nových predajcov a trójskych koní a cracknutých zostavení – je pripomienkou toho, že malvér je ekosystém. Aj keď pôvodný autor zmizne, jeho kód môže byť forkovaný, zneužitý ako zbraň a znovu nasadený inými. Obrancovia sa preto musia zamerať na odolné kontroly a stratégie detekcie, ktoré predpokladajú, že útočníci budú opätovne používať a prebaľovať existujúce sady nástrojov.

Trendy

Verzia vašej poštovej schránky bude ukončená – podvod

Phishing, Spam
Online podvodníci neustále vyvíjajú nové triky, ako oklamať používateľov a ukradnúť cenné údaje. Jedným z takýchto príkladov je podvod „Verzia vašej poštovej schránky bude zrušená“, čo je phishingová kampaň navrhnutá tak, aby získala prihlasovacie údaje od nič netušiacich obetí. Odborníci na kybernetickú bezpečnosť varujú, že tieto podvodné správy nie sú spojené so žiadnymi legitímnymi...

Najviac videné

Načítava...