Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema XWorm 6.0

Zlonamerna programska oprema XWorm 6.0

Do leta Mezo leta Zlonamerna programska oprema, Črvi
Prevedi v:

Varnostni raziskovalci so sledili XWormu iz kompaktnega ogrodja za oddaljeni dostop do zelo modularne platforme, ki jo operaterji uporabljajo za izvajanje širokega nabora zlonamernih operacij na ogroženih gostiteljih Windows. XWorm, ki je bil prvič označen leta 2022 in povezan s skupino z vzdevkom EvilCoder, so aktivno razvijali in predelovali posamezniki, ki so uporabljali persone XCoder (vodilni razvijalec do sredine leta 2024), v zadnjem času pa tudi prodajalci, kot je XCoderTools. Njegov nenehni razvoj in ponovni pojav kažeta, kako hitro se lahko orodje fragmentira, prepakira in ponovno vstopi v divjino.

Kako je zgrajen XWorm — jedro + vtičniki

Arhitektura XWorma se osredotoča na majhnega odjemalca, ki se poveže s strežnikom Command-and-Control (C2), in velik nabor vtičnikov, ki se na zahtevo naložijo v pomnilnik. Zasnova omogoča operaterjem, da lahkega odjemalca obdržijo na gostitelju, hkrati pa dinamično potiskajo funkcionalnosti (DLL-je) za izvajanje določenih nalog. Ekosistem projekta je vključeval tudi pomožna orodja, ki jih promovirajo razvijalci: graditelj zlonamerne programske opreme .NET, ločen RAT, imenovan XBinder, in pripomoček, ki poskuša zaobiti nadzor uporabniških računov sistema Windows (UAC). Skupnost razvijalcev okoli XWorma je oglaševala druge komponente in lažne namestitvene programe (zlasti zlonamerne namestitvene programe ScreenConnect) kot vabe za distribucijo.

Verige okužb in tehnike dostave

Raziskovalci so opazili več spreminjajočih se delovnih tokov okužbe za XWorm. Zgodnje verige so se zanašale na lažna sporočila, ki so dostavljala bližnjice sistema Windows (LNK); LNK-ji so izvajali PowerShell, ki je spuščal vabljive datoteke (na primer neškodljiv TXT) in zavajajočo izvedljivo datoteko (običajno maskirano kot Discord), ki je na koncu sprožila pravi koristni tovor. Novejše kampanje, ki distribuirajo družino 6.x, so v lažnih e-poštnih sporočilih uporabljale zlonamerne priloge JavaScript, ki prikazujejo vabljivo datoteko PDF, medtem ko izvajajo PowerShell v ozadju, ki vbrizga XWorm v legitimne procese, kot je RegSvcs.exe, da bi se izognili odkritju. Akterji grožnje so prek repozitorijev GitHub, spletnih mest za deljenje datotek, kanalov Telegram in YouTuba prav tako širili razpokane ali trojanske različice komponent XWorm, s čimer so poskušali pretentati manj izkušene operaterje, da bi namestili graditelje z zakulisjem.

Izogibanje, daljinsko upravljanje in funkcije operaterja

XWorm integrira več preverjanj proti analizi, ki prekinejo izvajanje, ko zazna indikatorje virtualizacije ali peskovnika. Ko je odjemalec aktiven, sprejema ukaze iz C2, ki zajemajo običajne operacije RAT (prenos datotek, manipulacija procesov in storitev, izvajanje ukazov lupine, odpiranje URL-jev), nadzor sistema (zaustavitev/ponovni zagon) in agresivnejša dejanja, kot je začetek DDoS aktivnosti. Modularni model vtičnikov omogoča oddaljenemu operaterju, da v pomnilniku zažene več kot 35 različnih koristnih datotek DLL, ne da bi jih zapisal na disk, kar daje XWormu prilagodljivo površino za napad, hkrati pa zmanjšuje forenzične sledi.

Protokol za dostavo vtičnikov

XWorm 6.x izvaja protokol vtičnikov »najprej zgoščena vrednost«: C2 izda ukaz »plugin«, ki vsebuje zgoščeno vrednost SHA-256 zahtevane knjižnice DLL in argumente izvajalnega okolja. Odjemalec preveri, ali ima ta vtičnik že shranjen v predpomnilniku; če ni, zahteva datoteko z ukazom »sendplugin«. Strežnik odgovori z ukazom »savePlugin«, ki vsebuje vtičnik kot base64 blob in njegovo zgoščeno vrednost SHA-256. Odjemalec dekodira blob, preveri zgoščeno vrednost in naloži knjižnico DLL neposredno v pomnilnik za izvedbo.

Pomembni vtičniki in kaj počnejo

  • RemoteDesktop.dll – vzpostavi interaktivno oddaljeno sejo.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll – krajo poverilnic in podatkov iz operacijskega sistema in aplikacij (ključi sistema Windows, gesla za Wi-Fi, poverilnice, shranjene v brskalniku, vključno z obhodi za šifriranje, vezano na aplikacije, in programi za zbiranje podatkov za FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — dostop do datotečnega sistema in upravljanje z njim.
  • Shell.dll — skrito izvajanje ukazov operaterja prek cmd.exe.
  • Informations.dll — prstni odtis gostitelja/sistema.
  • Webcam.dll – zajame slike/videoposnetke spletne kamere, da potrdi resnično žrtev.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – našteje omrežne povezave, aktivna okna in vnose za samodejni zagon.
  • Ransomware.dll – rutine za šifriranje/dešifriranje datotek (deli kodo z izsiljevalsko programsko opremo v slogu NoCry).
  • Rootkit.dll – namesti spremenjen rootkit r77.
  • ResetSurvival.dll – spremeni register sistema Windows, da preživi določene ponastavitve naprav.

Druga zlonamerna programska oprema, ki se širi prek okužb z XWorm, vključuje:

  • Kradljivac temnih oblakov
  • Hčerv (VBS RAT)
  • Snake KeyLogger
  • Rudarji kovancev
  • Čista zlonamerna programska oprema
  • ShadowSniff (kradljiva programska oprema za rjo, odprtokodna)
  • Fantomski kradljivec
  • Kradljivac femedrona
  • Remcos RAT

Operativne ovire, razdrobljenost in orožne vilice

Razvoj XWorma ni bil linearen. V drugi polovici leta 2024 je persona XCoder nenadoma izbrisala svojo prisotnost na Telegramu, kar je postavilo pod vprašaj prihodnost projekta. Vendar pa je ta vrzel sprožila oportunistično aktivnost: vdrte pakete XWorm v5.6, ki so bili sami okuženi s trojanci, da bi okužili druge akterje grožnje, in kampanje socialnega inženiringa, usmerjene proti »script kiddies« prek GitHuba in drugih javnih kanalov – kampanje, za katere raziskovalci ocenjujejo, da so poskušale ogroziti več deset tisoč naprav (domnevno več kot 18.000).

Analitiki so odkrili tudi spremenjene razcepitvene verige (forkov), vključno z različico z oznako XSPY (poročani izvor: različica v kitajskem jeziku) in kritično šibkostjo za oddaljeno izvajanje kode (RCE) v nekaterih različicah, ki je nekomu s šifrirnim ključem C2 omogočila izvajanje poljubne kode na okuženih gostiteljih. Razdrobljenost kompleta orodij otežuje pripisovanje in odstranitev; različni prodajalci in razcepitvene verige se lahko pojavijo in izginejo neodvisno.

Prenova leta 2025: XWorm 6.0 in aktivnost na trgu

4. junija 2025 je prodajalec, ki se imenuje XCoderTools, na forumih o kibernetski kriminaliteti objavil XWorm 6.0 za ceno 500 dolarjev za dosmrtni dostop, pri čemer je trdil, da je bila izdaja v celoti prekodirana in da je bila prej prijavljena napaka RCE odpravljena. Ni jasno, ali je to izdajo izdal prvotni avtor ali tretja oseba, ki izkorišča blagovno znamko XWorm. Opazovani vzorci XWorm 6.0 so konfigurirani za stik s C2 na naslovu 94.159.113[.]64 na vratih 4411 in implementirajo zgoraj opisani protokol vtičnika, kar omogoča hitro dostavo več deset DLL modulov v pomnilnik.

Bistvo

Življenjski cikel XWorma – od aktivnega razvoja prek opustitve do ponovnega pojava pod novimi prodajalci in s trojanci okuženimi razpokanimi različicami – je opomnik, da je zlonamerna programska oprema ekosistem. Tudi če izvirni avtor izgine, lahko njegovo kodo drugi razvejijo, jo uporabijo kot orožje in jo ponovno namestijo. Zato se morajo zagovorniki osredotočiti na odporne kontrole in strategije odkrivanja, ki predpostavljajo, da bodo nasprotniki ponovno uporabili in prepakirali obstoječa orodja.

V trendu

Različica vašega poštnega nabiralnika bo ukinjena -...

Lažno predstavljanje, Neželena pošta
Spletni prevaranti nenehno razvijajo nove trike, s katerimi zavajajo uporabnike in kradejo dragocene podatke. Eden takšnih primerov je prevara »Verzija vašega nabiralnika bo ukinjena«, phishing kampanja, namenjena pridobivanju prijavnih podatkov nič hudega slutečih žrtev. Strokovnjaki za kibernetsko varnost opozarjajo, da ta goljufiva sporočila niso povezana z nobenim legitimnim podjetjem,...

Najbolj gledan

Nalaganje...