XWorm 6.0 மால்வேர்

பாதுகாப்பு ஆராய்ச்சியாளர்கள் XWorm ஐ ஒரு சிறிய தொலைநிலை அணுகல் கட்டமைப்பிலிருந்து ஆபரேட்டர்கள் பயன்படுத்தும் மிகவும் மட்டுப்படுத்தப்பட்ட தளமாகக் கண்டறிந்துள்ளனர், இது சமரசம் செய்யப்பட்ட Windows ஹோஸ்ட்களில் பரந்த அளவிலான தீங்கிழைக்கும் செயல்பாடுகளை இயக்க பயன்படுகிறது. 2022 இல் முதன்முதலில் கொடியிடப்பட்டு, EvilCoder கைப்பிடியைப் பயன்படுத்தி ஒரு குழுவுடன் இணைக்கப்பட்ட XWorm, XCoder (2024 நடுப்பகுதி வரை முன்னணி டெவலப்பர்) மற்றும் சமீபத்தில், XCoderTools போன்ற விற்பனையாளர்களைப் பயன்படுத்தி தனிநபர்களால் தீவிரமாக உருவாக்கப்பட்டு மீண்டும் உருவாக்கப்பட்டுள்ளது. அதன் தொடர்ச்சியான பரிணாமம் மற்றும் மீண்டும் தோன்றுவது, ஒரு கருவி எவ்வளவு விரைவாக துண்டு துண்டாக, மீண்டும் தொகுக்கப்பட்டு, மீண்டும் காட்டுக்குள் நுழைய முடியும் என்பதை நிரூபிக்கிறது.

XWorm எவ்வாறு கட்டமைக்கப்படுகிறது — கோர் + செருகுநிரல்கள்

XWorm இன் கட்டமைப்பு, கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்தையும், தேவைக்கேற்ப நினைவகத்தில் ஏற்றப்படும் பெரிய அளவிலான செருகுநிரல் பேலோடுகளையும் அணுகும் ஒரு சிறிய கிளையண்டை மையமாகக் கொண்டுள்ளது. இந்த வடிவமைப்பு, குறிப்பிட்ட பணிகளைச் செய்ய, இயக்கவியல் ரீதியாக செயல்பாட்டை (DLLகள்) தள்ளும் அதே வேளையில், இலகுரக கிளையண்டை ஒரு ஹோஸ்டில் வைத்திருக்க ஆபரேட்டர்களை அனுமதிக்கிறது. திட்டத்தின் சுற்றுச்சூழல் அமைப்பில் டெவலப்பர்களால் ஊக்குவிக்கப்பட்ட துணை கருவிகளும் உள்ளன: .NET மால்வேர் பில்டர், XBinder எனப்படும் தனி RAT மற்றும் Windows பயனர் கணக்கு கட்டுப்பாட்டை (UAC) புறக்கணிக்க முயற்சிக்கும் ஒரு பயன்பாடு. XWorm ஐச் சுற்றியுள்ள டெவலப்பர் சமூகம் பிற கூறுகள் மற்றும் போலி நிறுவிகளை (குறிப்பாக தீங்கிழைக்கும் ScreenConnect நிறுவிகள்) விநியோக ஈர்ப்புகளாக விளம்பரப்படுத்தியுள்ளது.

தொற்று சங்கிலிகள் மற்றும் விநியோக நுட்பங்கள்

XWorm-க்கான பல, மாறிவரும் தொற்று பணிப்பாய்வுகளை ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர். ஆரம்பகால சங்கிலிகள் Windows குறுக்குவழி (LNK) கோப்புகளை வழங்கும் ஃபிஷிங் செய்திகளை நம்பியிருந்தன; LNK-கள் PowerShell-ஐ செயல்படுத்தின, இது decoy கோப்புகளை (உதாரணமாக, ஒரு பாதிப்பில்லாத TXT) கைவிட்டது மற்றும் இறுதியில் உண்மையான payload-ஐத் தொடங்கிய ஒரு ஏமாற்றும் இயங்கக்கூடிய (பொதுவாக Discord என மாறுவேடமிடும்) ஆகியவற்றைக் கைவிட்டது. 6.x குடும்பத்தை விநியோகிக்கும் சமீபத்திய பிரச்சாரங்கள், கண்டறிதலைத் தவிர்க்க RegSvcs.exe போன்ற முறையான செயல்முறைகளில் XWorm-ஐ செலுத்தும் பின்னணி PowerShell-ஐ இயக்கும் போது ஒரு decoy PDF-ஐக் காண்பிக்கும் ஃபிஷிங் மின்னஞ்சல்களில் தீங்கிழைக்கும் JavaScript இணைப்புகளைப் பயன்படுத்தியுள்ளன. அச்சுறுத்தல் நடிகர்கள் GitHub repos, கோப்பு பகிர்வு தளங்கள், Telegram சேனல்கள் மற்றும் YouTube மூலம் XWorm கூறுகளின் கிராக் செய்யப்பட்ட அல்லது ட்ரோஜனேற்றப்பட்ட பதிப்புகளையும் தள்ளி, குறைந்த திறமையான ஆபரேட்டர்களை பின்கதவு பில்டர்களை நிறுவுவதில் ஏமாற்ற முயற்சிக்கின்றனர்.

ஏய்ப்பு, ரிமோட் கண்ட்ரோல் மற்றும் ஆபரேட்டர் அம்சங்கள்

XWorm பல பகுப்பாய்வு எதிர்ப்பு சோதனைகளை ஒருங்கிணைக்கிறது, அவை மெய்நிகராக்கம் அல்லது சாண்ட்பாக்ஸ் குறிகாட்டிகளைக் கண்டறியும்போது செயல்படுத்தலை நிறுத்துகின்றன. செயல்பட்டவுடன், கிளையன்ட் C2 இலிருந்து கட்டளைகளை ஏற்றுக்கொள்கிறது, அவை பொதுவான RAT செயல்பாடுகளை (கோப்பு பரிமாற்றம், செயல்முறை மற்றும் சேவை கையாளுதல், ஷெல் கட்டளைகளை செயல்படுத்துதல், URLகளைத் திறத்தல்), கணினி கட்டுப்பாடு (நிறுத்தம்/மறுதொடக்கம்) மற்றும் DDoS செயல்பாட்டைத் தொடங்குதல் போன்ற மிகவும் தீவிரமான செயல்களை உள்ளடக்கியது. மட்டு செருகுநிரல் மாதிரியானது, ஒரு தொலைதூர ஆபரேட்டர் 35 க்கும் மேற்பட்ட வெவ்வேறு DLL பேலோடுகளை வட்டில் எழுதாமல் நினைவகத்தில் இயக்க அனுமதிக்கிறது, இது தடயவியல் தடயங்களைக் குறைக்கும் அதே வேளையில் XWorm க்கு நெகிழ்வான தாக்குதல் மேற்பரப்பை அளிக்கிறது.

செருகுநிரல் விநியோக நெறிமுறை

XWorm 6.x ஒரு ஹாஷ்-முதல் செருகுநிரல் நெறிமுறையை செயல்படுத்துகிறது: C2 கோரப்பட்ட DLL மற்றும் இயக்க நேர வாதங்களின் SHA-256 ஹாஷைக் கொண்ட 'பிளக்இன்' கட்டளையை வெளியிடுகிறது. கிளையன்ட் ஏற்கனவே அந்த செருகுநிரலை தற்காலிகமாகச் சேமித்துள்ளதா என்பதைச் சரிபார்க்கிறது; இல்லையென்றால், அது 'sendplugin' உடன் கோப்பைக் கோருகிறது. சேவையகம் செருகுநிரலை base64 blob ஆகவும் அதன் SHA-256 ஹாஷாகவும் கொண்டு செல்லும் 'savePlugin' கட்டளையுடன் பதிலளிக்கிறது. கிளையன்ட் blob ஐ டிகோட் செய்து, ஹாஷைச் சரிபார்த்து, DLL ஐ நேரடியாக நினைவகத்தில் ஏற்றுகிறது.

குறிப்பிடத்தக்க செருகுநிரல்கள் மற்றும் அவை என்ன செய்கின்றன

• RemoteDesktop.dll — ஒரு ஊடாடும் தொலை அமர்வை நிறுவுகிறது.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — OS மற்றும் பயன்பாடுகளிலிருந்து (Windows விசைகள், Wi‑Fi கடவுச்சொற்கள், உலாவியில் சேமிக்கப்பட்ட சான்றுகள், ஆப்-பவுண்ட் என்க்ரிப்ஷனுக்கான பைபாஸ்கள் மற்றும் FileZilla, Discord, Telegram, MetaMask க்கான அறுவடை செய்பவர்கள் உட்பட) நற்சான்றிதழ் மற்றும் தரவு திருட்டு.
• FileManager.dll — கோப்பு முறைமையை அணுகுதல் மற்றும் கையாளுதல்.
• Shell.dll — cmd.exe மூலம் ஆபரேட்டர் கட்டளைகளை மறைத்து செயல்படுத்துதல்.
• Informations.dll — ஹோஸ்ட்/சிஸ்டம் கைரேகை பதிவு.
• Webcam.dll — உண்மையான பாதிக்கப்பட்டவரை உறுதிப்படுத்த வெப்கேம் படங்கள்/வீடியோவைப் பிடிக்கிறது.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — நெட்வொர்க் இணைப்புகள், செயலில் உள்ள சாளரங்கள் மற்றும் ஆட்டோஸ்டார்ட் உள்ளீடுகளை பட்டியலிடுகிறது.
• Ransomware.dll — கோப்பு குறியாக்கம்/மறைகுறியாக்க நடைமுறைகள் (NoCry-style ransomware உடன் குறியீட்டைப் பகிர்ந்து கொள்கின்றன).
• Rootkit.dll — மாற்றியமைக்கப்பட்ட r77 ரூட்கிட்டை நிறுவுகிறது.
• ResetSurvival.dll — சில சாதன மீட்டமைப்புகளைத் தக்கவைக்க Windows Registryயை மாற்றியமைக்கிறது.

XWorm தொற்றுகள் மூலம் பரவும் பிற தீம்பொருள்கள் பின்வருமாறு:

• டார்க் கிளவுட் திருடர்
• ஹ்வோர்ம் (VBS RAT)
• பாம்பு கீலாக்கர்
• நாணயச் சுரங்கத் தொழிலாளர்கள்
• முற்றிலும் தீம்பொருள்
• ஷேடோஸ்னிஃப் (துரு திருடுபவர், ஓப்பன் சோர்ஸ்)
• மறைமுக திருடன்
• பெமெட்ரோன் திருடர்

செயல்பாட்டு பின்னடைவுகள், துண்டு துண்டாக வெட்டுதல் மற்றும் ஆயுதமயமாக்கப்பட்ட முட்கரண்டிகள்

XWorm இன் வளர்ச்சி நேரியல் முறையில் இல்லை. 2024 ஆம் ஆண்டின் இரண்டாம் பாதியில், XCoder என்ற நபர் திடீரென தங்கள் டெலிகிராம் இருப்பை நீக்கி, திட்டத்தின் எதிர்காலத்தை சந்தேகித்தார். இருப்பினும், அந்த இடைவெளி சந்தர்ப்பவாத நடவடிக்கைக்கு வழிவகுத்தது: மற்ற அச்சுறுத்தல் நடிகர்களைப் பாதிக்க ட்ரோஜனேற்றம் செய்யப்பட்ட XWorm v5.6 தொகுப்புகளை உடைத்தது, மற்றும் GitHub மற்றும் பிற பொது சேனல்கள் வழியாக 'ஸ்கிரிப்ட் குழந்தைகளை' குறிவைத்து சமூக பொறியியல் பிரச்சாரங்கள் - ஆராய்ச்சியாளர்கள் மதிப்பிடும் பிரச்சாரங்கள் பல்லாயிரக்கணக்கான சாதனங்களை (18,000 க்கும் மேற்பட்டவை) சமரசம் செய்ய முயற்சித்ததாக மதிப்பிடப்பட்டுள்ளது.

ஆய்வாளர்கள் மாற்றியமைக்கப்பட்ட ஃபோர்க்குகளையும் கண்டறிந்தனர், அவற்றில் XSPY (அறிக்கையிடப்பட்ட தோற்றம்: சீன மொழி மாறுபாடு) என்று பெயரிடப்பட்ட மாறுபாடு மற்றும் சில கட்டமைப்புகளில் ஒரு முக்கியமான தொலைநிலை குறியீடு செயல்படுத்தல் (RCE) பலவீனம் ஆகியவை அடங்கும், இது C2 குறியாக்க விசையை வைத்திருக்கும் ஒருவர் பாதிக்கப்பட்ட ஹோஸ்ட்களில் தன்னிச்சையான குறியீட்டை இயக்க அனுமதித்தது. கருவித்தொகுப்பின் துண்டு துண்டானது பண்புக்கூறு மற்றும் தரமிறக்குதலை மிகவும் கடினமாக்குகிறது; வெவ்வேறு விற்பனையாளர்கள் மற்றும் ஃபோர்க்குகள் சுயாதீனமாக தோன்றி மறைந்துவிடும்.

2025 மறுசீரமைப்பு: XWorm 6.0 மற்றும் சந்தை செயல்பாடு

ஜூன் 4, 2025 அன்று, XCoderTools என்று தன்னை அழைத்துக் கொள்ளும் ஒரு விற்பனையாளர், வாழ்நாள் அணுகலுக்காக $500 விலையில் சைபர் கிரைம் மன்றங்களில் XWorm 6.0 ஐ இடுகையிட்டார், வெளியீடு முழுமையாக மறுகுறியீடு செய்யப்பட்டதாகவும், முன்னர் அறிவிக்கப்பட்ட RCE குறைபாடு சரி செய்யப்பட்டதாகவும் கூறினார். இந்த வெளியீடு அசல் ஆசிரியரிடமிருந்து வந்ததா அல்லது XWorm பிராண்டைப் பயன்படுத்தும் மூன்றாம் தரப்பினரிடமிருந்து வந்ததா என்பது தெளிவாகத் தெரியவில்லை. கவனிக்கப்பட்ட XWorm 6.0 மாதிரிகள் போர்ட் 4411 இல் 94.159.113[.]64 இல் C2 ஐத் தொடர்பு கொள்ளவும், மேலே விவரிக்கப்பட்ட செருகுநிரல் நெறிமுறையை செயல்படுத்தவும் கட்டமைக்கப்பட்டுள்ளன, இது டஜன் கணக்கான DLL தொகுதிகளை விரைவாக, நினைவகத்தில் வழங்க உதவுகிறது.

கீழே வரி

XWorm இன் வாழ்க்கைச் சுழற்சி - செயலில் வளர்ச்சியிலிருந்து கைவிடப்படுதல் வரை புதிய விற்பனையாளர்கள் மற்றும் ட்ரோஜனைஸ் செய்யப்பட்ட கிராக் செய்யப்பட்ட கட்டமைப்புகளின் கீழ் மீண்டும் தோன்றுவது வரை - தீம்பொருள் ஒரு சுற்றுச்சூழல் அமைப்பு என்பதை நினைவூட்டுகிறது. ஒரு அசல் ஆசிரியர் மறைந்தாலும், அவர்களின் குறியீட்டை மற்றவர்களால் பிரித்து, ஆயுதமாக்கி, மீண்டும் பயன்படுத்தலாம். எனவே, எதிரிகள் ஏற்கனவே உள்ள கருவித்தொகுப்புகளை மீண்டும் பயன்படுத்தி மீண்டும் பேக்கேஜ் செய்வார்கள் என்று கருதும் மீள் கட்டுப்பாடுகள் மற்றும் கண்டறிதல் உத்திகளில் பாதுகாவலர்கள் கவனம் செலுத்த வேண்டும்.