Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер XWorm 6.0

Злонамерни софтвер XWorm 6.0

До Mezo. у Малваре, Црви
Преведи на:

Истраживачи безбедности су пратили XWorm од компактног оквира за удаљени приступ до високо модуларне платформе коју оператери користе за покретање широког спектра злонамерних операција на компромитованим Windows хостовима. Први пут означен 2022. године и повезан са групом која користи корисничко име EvilCoder, XWorm су активно развијали и прерађивали појединци који користе персоне XCoder (главни програмер до средине 2024. године) и, у скорије време, продавци као што је XCoderTools. Његова континуирана еволуција и поновно појављивање показују колико брзо алат може бити фрагментиран, препакован и поново ушао у дивљину.

Како је XWorm направљен — Језгро + Додаци

Архитектура XWorm-а се заснива на малом клијенту који се повезује са Command-and-Control (C2) сервером и великим скупом додатака који се учитавају у меморију на захтев. Дизајн омогућава оператерима да држе лагани клијент на хосту док динамички померају функционалности (DLL-ове) за обављање одређених задатака. Екосистем пројекта је такође укључивао помоћне алате које промовишу програмери: .NET креатор злонамерног софтвера, посебан RAT под називом XBinder и услужни програм који покушава да заобиђе контролу корисничких налога у систему Windows (UAC). Заједница програмера око XWorm-а је рекламирала друге компоненте и лажне инсталатере (посебно злонамерне инсталатере ScreenConnect) као мамце за дистрибуцију.

Ланци инфекције и технике испоруке

Истраживачи су посматрали вишеструке, променљиве токове рада инфекције за XWorm. Рани ланци су се ослањали на фишинг поруке које су испоручивале Windows пречице (LNK) датотеке; LNK-ови су извршавали PowerShell, који је испуштао мамце (на пример, безопасни TXT) и обмањујући извршни фајл (обично маскиран као Discord) који је на крају покренуо прави корисни терет. Новије кампање које дистрибуирају породицу 6.x користиле су злонамерне JavaScript прилоге у фишинг имејловима који приказују мамце PDF док извршавају позадински PowerShell који убризгава XWorm у легитимне процесе као што је RegSvcs.exe како би избегли откривање. Претње су такође гурнуле крековане или тројанизоване верзије XWorm компоненти путем GitHub репозиторијума, сајтова за дељење датотека, Telegram канала и YouTube-а, покушавајући да преваре мање веште оператере да инсталирају забачене креаторе.

Избегавање, даљинско управљање и функције оператера

XWorm интегрише вишеструке анти-аналитичке провере које прекидају извршавање када открију индикаторе виртуелизације или sandbox-а. Када је активан, клијент прихвата команде од C2 које покривају уобичајене RAT операције (пренос датотека, манипулација процесима и услугама, извршавање команди shell-а, отварање URL-ова), контролу система (искључивање/поновно покретање) и агресивније акције као што је покретање DDoS активности. Модуларни модел додатака омогућава удаљеном оператеру да покрене више од 35 различитих DLL корисних садржаја у меморији без писања на диск, дајући XWorm-у флексибилну површину за напад, а истовремено смањујући форензичке трагове.

Протокол за испоруку додатака

XWorm 6.x имплементира протокол „прво хеширање додатака“: C2 издаје команду „додатак“ која садржи SHA-256 хеш тражене DLL датотеке плус аргументе током извршавања. Клијент проверава да ли већ има тај додатак кеширан; ако не, захтева датотеку са „sendplugin“. Сервер одговара командом „savePlugin“ која носи додатак као base64 блоб и његов SHA-256 хеш. Клијент декодира блоб, верификује хеш и учитава DLL директно у меморију за извршавање.

Значајни додаци и шта они раде

  • RemoteDesktop.dll — успоставља интерактивну удаљену сесију.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — крађа акредитива и података из оперативног система и апликација (Windows кључеви, лозинке за Wi-Fi, акредитиви сачувани у прегледачу, укључујући заобилажења за шифровање везано за апликације и програме за прикупљање података за FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — приступ и манипулација фајл системом.
  • Shell.dll — скривено извршавање команди оператора путем cmd.exe.
  • Informations.dll — отисак прста хоста/система.
  • Webcam.dll — снима слике/видео са веб камере како би се потврдила стварна жртва.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — набраја мрежне везе, активне прозоре и ставке за аутоматско покретање.
  • Ransomware.dll — рутине за шифровање/дешифровање датотека (дели код са ransomware-ом у стилу NoCry).
  • Rootkit.dll — инсталира модификовани r77 руткит.
  • ResetSurvival.dll — мења Windows регистар како би преживео одређена ресетовања уређаја.

Остали злонамерни софтвер који се дистрибуира путем XWorm инфекција укључује:

  • Крадљивац ДаркКлауда
  • Хворм (VBS RAT)
  • Змијски логер за кључеве
  • Рудари новчића
  • Чисти злонамерни софтвер
  • ShadowSniff (крађач рђе, отвореног кода)
  • Фантомски крадљивац
  • Крадљивац фемедрона
  • Ремкос РАТ

Оперативни застоји, фрагментација и наоружане виљушке

Развој XWorm-а није био линеаран. У другој половини 2024. године, личност XCoder је нагло обрисала своје присуство на Telegram-у, бацајући сумњу на будућност пројекта. Међутим, та празнина је изазвала опортунистичке активности: крековане XWorm v5.6 пакете који су и сами били тројанизовани како би заразили друге актере претње, и кампање социјалног инжењеринга усмерене на „децу скрипти“ путем GitHub-а и других јавних канала – кампање за које истраживачи процењују да су покушале да компромитују десетине хиљада уређаја (наводно преко 18.000).

Аналитичари су такође пронашли модификоване форкове, укључујући варијанту означену са XSPY (пријављено порекло: кинеска варијанта) и критичну слабост за даљинско извршавање кода (RCE) у неким верзијама која је омогућавала некоме ко поседује C2 кључ за шифровање да извршава произвољни код на зараженим хостовима. Фрагментација алата отежава приписивање и уклањање; различити продавци и форкови могу се појавити и нестати независно.

Поновно појављивање у 2025. години: XWorm 6.0 и активност на тржишту

Дана 4. јуна 2025. године, продавац који себе назива XCoderTools објавио је XWorm 6.0 на форумима о сајбер криминалу по цени од 500 долара за доживотни приступ, тврдећи да је издање потпуно редизајнирано и да је претходно пријављена RCE грешка исправљена. Није јасно да ли је ово издање дошло од оригиналног аутора или од треће стране која користи бренд XWorm. Уочени узорци XWorm 6.0 су конфигурисани да контактирају C2 на 94.159.113[.]64 на порту 4411 и имплементирају горе описани протокол додатка, омогућавајући брзу испоруку десетина DLL модула у меморији.

Закључак

Животни циклус XWorm-а — од активног развоја, преко напуштања, до поновног појављивања код нових продаваца и тројанских крекованих верзија — подсетник је да је злонамерни софтвер екосистем. Чак и ако оригинални аутор нестане, његов код може бити „форкован“, претворен у оружје и поново распоређен од стране других. Браниоци се стога морају фокусирати на отпорне контроле и стратегије детекције које претпостављају да ће противници поново користити и препаковати постојеће скупове алата.

У тренду

Верзија вашег поштанског сандучета ће бити укинута -...

Пецање, Спам
Онлајн преваранти стално развијају нове трикове како би обманули кориснике и украли вредне податке. Један такав пример је превара „Верзија вашег поштанског сандучета биће укинута“, фишинг кампања осмишљена да прикупи податке за пријаву од неслутећих жртава. Стручњаци за сајбер безбедност упозоравају да ове преварне поруке нису повезане ни са једном легитимном компанијом, организацијом или...

Најгледанији

Злонамерних програма

Пецање, Спам
33,974
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...