XWorm 6.0 Malware
Studiuesit e sigurisë e kanë gjurmuar XWorm-in nga një strukturë kompakte me akses të largët në një platformë shumë modulare që operatorët e përdorin për të ekzekutuar një gamë të gjerë operacionesh dashakeqe në hostet e kompromentuara të Windows. I identifikuar për herë të parë në vitin 2022 dhe i lidhur me një grup që përdor emrin EvilCoder, XWorm është zhvilluar dhe ripunuar në mënyrë aktive nga individë që përdorin personazhet XCoder (zhvilluesi kryesor deri në mesin e vitit 2024) dhe, së fundmi, nga shitës të tillë si XCoderTools. Evolucioni dhe rishfaqja e tij e vazhdueshme tregojnë se sa shpejt një mjet mund të fragmentohet, të ripaketohet dhe të rikthehet në botën e egër.
Tabela e Përmbajtjes
Si është ndërtuar XWorm — Core + Plugins
Arkitektura e XWorm përqendrohet në një klient të vogël që arrin në një server Command‑and‑Control (C2) dhe një grup të madh ngarkesash plug-in që ngarkohen në memorie sipas kërkesës. Dizajni u lejon operatorëve ta mbajnë klientin e lehtë në një host, ndërsa shtyjnë dinamikisht funksionalitetin (DLL) për të kryer detyra specifike. Ekosistemi i projektit ka përfshirë gjithashtu mjete ndihmëse të promovuara nga zhvilluesit: një ndërtues malware .NET, një RAT të veçantë të quajtur XBinder dhe një program që përpiqet të anashkalojë Kontrollin e Llogarisë së Përdoruesit të Windows (UAC). Komuniteti i zhvilluesve rreth XWorm ka reklamuar komponentë të tjerë dhe instalues të rremë (veçanërisht instalues keqdashës ScreenConnect) si karrem shpërndarjeje.
Zinxhirët e infeksionit dhe teknikat e shpërndarjes
Studiuesit kanë vëzhguar rrjedha të shumta pune infeksioni në ndryshim për XWorm. Zinxhirët e hershëm mbështeteshin në mesazhet e phishing që dërgonin skedarë shkurtesash të Windows (LNK); LNK-të ekzekutonin PowerShell, i cili lëshonte skedarë mashtrues (për shembull, një TXT të padëmshëm) dhe një skedar ekzekutues mashtrues (zakonisht të maskuar si Discord) që në fund të fundit niste ngarkesën e vërtetë. Fushatat më të fundit që shpërndajnë familjen 6.x kanë përdorur bashkëngjitje keqdashëse JavaScript në emailet e phishing që shfaqin një PDF mashtrues ndërsa ekzekutojnë PowerShell në sfond që injekton XWorm në procese legjitime si RegSvcs.exe për të shmangur zbulimin. Aktorët kërcënues kanë shtyrë gjithashtu versione të thyera ose të trojanizuara të komponentëve të XWorm përmes depove të GitHub, faqeve të ndarjes së skedarëve, kanaleve Telegram dhe YouTube, duke u përpjekur të mashtrojnë operatorët më pak të aftë që të instalojnë ndërtues të fshehur.
Shmangia, Kontrolli në Distancë dhe Karakteristikat e Operatorit
XWorm integron kontrolle të shumta anti-analizë që ndërpresin ekzekutimin kur zbulon tregues të virtualizimit ose sandbox. Pasi të jetë aktiv, klienti pranon komanda nga C2 që mbulojnë operacionet e zakonshme RAT (transferimi i skedarëve, manipulimi i proceseve dhe shërbimeve, ekzekutimi i komandave të shell, hapja e URL-ve), kontrolli i sistemit (mbyllja/ristartimi) dhe veprime më agresive siç është nisja e aktivitetit DDoS. Modeli modular i plugin-it lejon që një operator i largët të ekzekutojë më shumë se 35 ngarkesa të ndryshme DLL në memorie pa i shkruar ato në disk, duke i dhënë XWorm një sipërfaqe sulmi fleksibile ndërsa zvogëlon gjurmët mjeko-ligjore.
Protokolli i Dorëzimit të Plugin-it
XWorm 6.x zbaton një protokoll plugin-i hash-first: C2 lëshon një komandë 'plugin' që përmban hash-in SHA‑256 të DLL-së së kërkuar plus argumentet e kohës së ekzekutimit. Klienti kontrollon nëse e ka tashmë atë plugin të ruajtur në memorien e përkohshme; nëse jo, ai kërkon skedarin me 'sendplugin'. Serveri përgjigjet me një komandë 'savePlugin' që mban plugin-in si një blob base64 dhe hash-in e tij SHA‑256. Klienti dekodon blobin, verifikon hash-in dhe ngarkon DLL-në direkt në memorie për ekzekutim.
Shtojcat e rëndësishme dhe çfarë bëjnë ato
- RemoteDesktop.dll — krijon një seancë interaktive në distancë.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — vjedhje kredencialesh dhe të dhënash nga sistemi operativ dhe aplikacionet (çelësat e Windows, fjalëkalimet e Wi-Fi, kredencialet e ruajtura në shfletues, duke përfshirë anashkalimet për enkriptimin e lidhur me aplikacionet dhe mbledhësit për FileZilla, Discord, Telegram, MetaMask).
- FileManager.dll — qasje dhe manipulim në sistemin e skedarëve.
- Shell.dll — ekzekutim i fshehur i komandave të operatorit përmes cmd.exe.
- Informations.dll — gjurmë gishtash të hostit/sistemit.
- Webcam.dll — kap imazhe/video nga kamera e internetit për të konfirmuar një viktimë të vërtetë.
- TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — numëron lidhjet e rrjetit, dritaret aktive dhe hyrjet e nisjes automatike.
- Ransomware.dll — rutinat e enkriptimit/dekriptimit të skedarëve (ndan kodin me ransomware-in e stilit NoCry).
- Rootkit.dll — instalon një rootkit të modifikuar r77.
- ResetSurvival.dll — modifikon Regjistrin e Windows për t'i mbijetuar rivendosjeve të caktuara të pajisjeve.
Malware të tjerë të shpërndarë nëpërmjet infeksioneve XWorm përfshijnë:
- Vjedhësi i DarkCloud
- Hworm (VBS RAT)
- Regjistruesi i Çelësave Snake
- Minatorët e monedhave
- Malware i pastër
- ShadowSniff (Vjedhës ndryshku, me burim të hapur)
- Hajdut Fantazmë
- Vjedhësi i Femedronit
- Remcos RAT
Pengesa Operacionale, Fragmentim dhe Forkë të Armatosura
Zhvillimi i XWorm nuk ka qenë linear. Në gjysmën e dytë të vitit 2024, personazhi XCoder fshiu papritur praninë e tij në Telegram, duke hedhur dyshime mbi të ardhmen e projektit. Megjithatë, ky boshllëk shkaktoi aktivitet oportunist: plasariti paketa XWorm v5.6 që vetë u trojanizuan për të infektuar aktorë të tjerë kërcënues, dhe fushata inxhinierie sociale që synonin 'script kiddies' nëpërmjet GitHub dhe kanaleve të tjera publike - fushata që studiuesit vlerësojnë se u përpoqën të kompromentonin dhjetëra mijëra pajisje (thuhet se mbi 18,000).
Analistët gjetën gjithashtu fork-e të modifikuara, duke përfshirë një variant të etiketuar XSPY (origjina e raportuar: varianti i gjuhës kineze) dhe një dobësi kritike të ekzekutimit të kodit në distancë (RCE) në disa versione që i lejonin dikujt që zotëronte çelësin e enkriptimit C2 të ekzekutonte kod arbitrar në host-et e infektuar. Fragmentimi i setit të mjeteve e bën më të vështirë atribuimin dhe heqjen; shitës dhe fork-e të ndryshëm mund të shfaqen dhe zhduken në mënyrë të pavarur.
Ripërtëritja e sipërfaqes 2025: XWorm 6.0 dhe aktiviteti i tregut
Më 4 qershor 2025, një shitës që e quan veten XCoderTools postoi XWorm 6.0 në forumet e krimit kibernetik me një çmim prej 500 dollarësh për akses të përjetshëm, duke pretenduar se versioni ishte rikoduar plotësisht dhe se gabimi RCE i raportuar më parë ishte rregulluar. Nuk është e qartë nëse ky version erdhi nga autori origjinal apo nga një palë e tretë që përdor markën XWorm. Mostrat e vëzhguara të XWorm 6.0 janë konfiguruar për të kontaktuar një C2 në 94.159.113[.]64 në portin 4411 dhe për të zbatuar protokollin e plugin-it të përshkruar më sipër, duke mundësuar shpërndarjen e shpejtë në memorie të dhjetëra moduleve DLL.
Në fund të fundit
Cikli jetësor i XWorm - nga zhvillimi aktiv përmes braktisjes deri te rishfaqja nën shitës të rinj dhe ndërtime të thyera të trojanizuara - është një kujtesë se programet keqdashëse janë një ekosistem. Edhe nëse një autor origjinal zhduket, kodi i tyre mund të degëzohet, të shndërrohet në armë dhe të ripërdoret nga të tjerët. Prandaj, mbrojtësit duhet të përqendrohen në kontrolle elastike dhe strategji zbulimi që supozojnë se kundërshtarët do të ripërdorin dhe ripaketojnë mjetet ekzistuese.
