Rabattoffert för flera licenser
Hotdatabas Skadlig programvara XWorm 6.0-skadlig programvara

XWorm 6.0-skadlig programvara

Med Mezo år Skadlig programvara, Maskar
Översätt till:

Säkerhetsforskare har spårat XWorm från ett kompakt ramverk för fjärråtkomst till en mycket modulär plattform som operatörer använder för att köra en mängd olika skadliga operationer på komprometterade Windows-värdar. XWorm flaggades först 2022 och kopplades till en grupp med användarnamnet EvilCoder. Det har aktivt utvecklats och omarbetats av individer som använder personorna XCoder (huvudutvecklare fram till mitten av 2024) och, på senare tid, säljare som XCoderTools. Dess fortsatta utveckling och återkomst visar hur snabbt ett verktyg kan fragmenteras, ompaketeras och återinträda i det vilda.

Hur XWorm är byggt — Kärna + Plugins

XWorms arkitektur kretsar kring en liten klient som kontaktar en Command-and-Control (C2)-server och en stor uppsättning plugin-nyttolaster som laddas in i minnet på begäran. Designen gör det möjligt för operatörer att behålla den lätta klienten på en värd samtidigt som de dynamiskt pushar funktionalitet (DLL:er) för att utföra specifika uppgifter. Projektets ekosystem har också inkluderat hjälpverktyg som marknadsförts av utvecklarna: en .NET-skadlig verktygsbyggare, en separat RAT som heter XBinder och ett verktyg som försöker kringgå Windows User Account Control (UAC). Utvecklarcommunityn kring XWorm har marknadsfört andra komponenter och falska installationsprogram (särskilt skadliga ScreenConnect-installationsprogram) som distributionslockmedel.

Infektionskedjor och leveranstekniker

Forskare har observerat flera skiftande infektionsflöden för XWorm. Tidiga kedjor förlitade sig på nätfiskemeddelanden som levererade Windows-genvägsfiler (LNK); LNK:erna körde PowerShell, som släppte lockbeteendefiler (till exempel en ofarlig TXT) och en vilseledande körbar fil (vanligtvis maskerad som Discord) som slutligen startade den verkliga nyttolasten. Nyare kampanjer som distribuerar 6.x-familjen har använt skadliga JavaScript-bilagor i nätfiske-e-postmeddelanden som visar en lockbete-PDF samtidigt som de kör PowerShell i bakgrunden som injicerar XWorm i legitima processer som RegSvcs.exe för att undvika upptäckt. Hotaktörer har också pushat krackade eller trojaniserade versioner av XWorm-komponenter via GitHub-repos, fildelningssajter, Telegram-kanaler och YouTube, i ett försök att lura mindre skickliga operatörer att installera bakdörrsbyggare.

Undviknings-, fjärrkontroll- och operatörsfunktioner

XWorm integrerar flera anti-analyskontroller som avbryter körningen när virtualiserings- eller sandlådeindikatorer upptäcks. När klienten är aktiv accepterar den kommandon från C2 som täcker vanliga RAT-operationer (filöverföring, process- och tjänstmanipulation, körning av shellkommandon, öppnande av URL:er), systemkontroll (avstängning/omstart) och mer aggressiva åtgärder som att starta DDoS-aktivitet. Den modulära plugin-modellen låter en fjärroperatör köra mer än 35 olika DLL-nyttolaster i minnet utan att skriva dem till disk, vilket ger XWorm en flexibel attackyta samtidigt som det minskar forensiska spår.

Protokoll för leverans av plugin-program

XWorm 6.x implementerar ett hash-first plugin-protokoll: C2 utfärdar ett 'plugin'-kommando som innehåller SHA-256-hashen för den begärda DLL-filen plus runtime-argument. Klienten kontrollerar om den redan har cachat plugin-filen; om inte, begär den filen med 'sendplugin'. Servern svarar med ett 'savePlugin'-kommando som innehåller plugin-filen som en base64-blob och dess SHA-256-hash. Klienten avkodar blobben, verifierar hashen och laddar DLL-filen direkt i minnet för körning.

Anmärkningsvärda plugins och vad de gör

  • RemoteDesktop.dll — upprättar en interaktiv fjärrsession.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — stöld av autentiseringsuppgifter och datastöld från operativsystem och applikationer (Windows-nycklar, Wi-Fi-lösenord, webbläsarlagrade autentiseringsuppgifter, inklusive kringgående åtgärder för appbunden kryptering och insamlare för FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — åtkomst till och manipulation av filsystem.
  • Shell.dll — dold exekvering av operatorkommandon via cmd.exe.
  • Informations.dll — fingeravtryckstagning av värd/system.
  • Webcam.dll — tar webbkamerabilder/video för att bekräfta ett verkligt offer.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — räknar upp nätverksanslutningar, aktiva fönster och autostartposter.
  • Ransomware.dll — rutiner för filkryptering/dekryptering (delar kod med NoCry-liknande ransomware).
  • Rootkit.dll — installerar ett modifierat r77 rootkit.
  • ResetSurvival.dll — modifierar Windows-registret för att överleva vissa enhetsåterställningar.

Annan skadlig kod som distribueras via XWorm-infektioner inkluderar:

  • DarkCloud Stealer
  • Hmask (VBS-råtta)
  • Snake Keylogger
  • Myntgrävare
  • Ren skadlig kod
  • ShadowSniff (roststjälare, öppen källkod)
  • Fantomstjälare
  • Femedronstjälare
  • Remcos RAT

Operativa motgångar, fragmentering och beväpnade gafflar

XWorms utveckling har inte varit linjär. Under andra halvan av 2024 raderade personan XCoder plötsligt sin Telegram-närvaro, vilket skapade tvivel om projektets framtid. Denna lucka skapade dock opportunistisk aktivitet: knäckta XWorm v5.6-paket som själva var trojanerade för att infektera andra hotaktörer, och social engineering-kampanjer riktade mot "script kiddies" via GitHub och andra offentliga kanaler – kampanjer som forskare uppskattar försökte kompromettera tiotusentals enheter (enligt uppgift över 18 000).

Analytiker hittade också modifierade forks, inklusive en variant märkt XSPY (rapporterat ursprung: kinesiskspråkig variant) och en kritisk svaghet i fjärrkodexekvering (RCE) i vissa versioner som gjorde det möjligt för någon som innehade C2-krypteringsnyckeln att exekvera godtycklig kod på infekterade värdar. Verktygslådans fragmentering gör det svårare att tillskriva och ta bort kod; olika säljare och forks kan dyka upp och försvinna oberoende av varandra.

2025 års återuppbyggnad: XWorm 6.0 och marknadsplatsaktivitet

Den 4 juni 2025 publicerade en leverantör som kallade sig XCoderTools XWorm 6.0 på cyberbrottsforum till ett pris på 500 dollar för livstidsåtkomst. De hävdade att versionen var helt omkodad och att den tidigare rapporterade RCE-felet hade åtgärdats. Det är oklart om denna version kom från den ursprungliga författaren eller från en tredje part som utnyttjar varumärket XWorm. Observerade XWorm 6.0-exempel är konfigurerade för att kontakta en C2 på 94.159.113[.]64 på port 4411 och implementera plugin-protokollet som beskrivs ovan, vilket möjliggör snabb leverans i minnet av dussintals DLL-moduler.

Slutsats

XWorms livscykel – från aktiv utveckling via övergivande till återkomst hos nya säljare och trojanska spruckna versioner – är en påminnelse om att skadlig kod är ett ekosystem. Även om en ursprunglig upphovsman försvinner kan deras kod förgrenas, beväpnas och omdistribueras av andra. Försvarare måste därför fokusera på motståndskraftiga kontroller och detekteringsstrategier som antar att motståndare kommer att återanvända och ompaketera befintliga verktyg.

Trendigt

Mest sedda

Läser in...