XWorm 6.0 మాల్వేర్

భద్రతా పరిశోధకులు XWorm ను కాంపాక్ట్ రిమోట్-యాక్సెస్ ఫ్రేమ్‌వర్క్ నుండి ఆపరేటర్లు రాజీపడిన Windows హోస్ట్‌లపై విస్తృత శ్రేణి హానికరమైన కార్యకలాపాలను అమలు చేయడానికి ఉపయోగించే అత్యంత మాడ్యులర్ ప్లాట్‌ఫామ్‌గా గుర్తించారు. మొదట 2022లో ఫ్లాగ్ చేయబడి, EvilCoder హ్యాండిల్‌ని ఉపయోగించి ఒక సమూహంతో అనుసంధానించబడిన XWorm, XCoder (2024 మధ్యకాలం వరకు లీడ్ డెవలపర్) మరియు ఇటీవల, XCoderTools వంటి విక్రేతలను ఉపయోగించే వ్యక్తులచే చురుకుగా అభివృద్ధి చేయబడింది మరియు తిరిగి పని చేయబడింది. దీని నిరంతర పరిణామం మరియు తిరిగి కనిపించడం ఒక సాధనం ఎంత త్వరగా విచ్ఛిన్నం చేయగలదో, తిరిగి ప్యాక్ చేయగలదో మరియు తిరిగి అడవిలోకి ప్రవేశించగలదో ప్రదర్శిస్తుంది.

XWorm ఎలా నిర్మించబడింది — కోర్ + ప్లగిన్లు

XWorm యొక్క ఆర్కిటెక్చర్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ను చేరుకునే చిన్న క్లయింట్‌పై మరియు డిమాండ్‌పై మెమరీలోకి లోడ్ చేయబడిన పెద్ద ప్లగ్-ఇన్ పేలోడ్‌లపై కేంద్రీకృతమై ఉంది. ఈ డిజైన్ ఆపరేటర్‌లు నిర్దిష్ట పనులను నిర్వహించడానికి డైనమిక్‌గా ఫంక్షనాలిటీ (DLLలు)ను నెట్టేటప్పుడు తేలికైన క్లయింట్‌ను హోస్ట్‌లో ఉంచడానికి అనుమతిస్తుంది. ప్రాజెక్ట్ యొక్క పర్యావరణ వ్యవస్థలో డెవలపర్లు ప్రోత్సహించిన సహాయక సాధనాలు కూడా ఉన్నాయి: .NET మాల్వేర్ బిల్డర్, XBinder అని పిలువబడే ప్రత్యేక RAT మరియు Windows యూజర్ అకౌంట్ కంట్రోల్ (UAC)ను దాటవేయడానికి ప్రయత్నించే యుటిలిటీ. XWorm చుట్టూ ఉన్న డెవలపర్ కమ్యూనిటీ ఇతర భాగాలు మరియు నకిలీ ఇన్‌స్టాలర్‌లను (ముఖ్యంగా హానికరమైన స్క్రీన్‌కనెక్ట్ ఇన్‌స్టాలర్‌లు) పంపిణీ ఎరలుగా ప్రచారం చేసింది.

ఇన్ఫెక్షన్ గొలుసులు మరియు డెలివరీ పద్ధతులు

XWorm కోసం బహుళ, మారుతున్న ఇన్ఫెక్షన్ వర్క్‌ఫ్లోలను పరిశోధకులు గమనించారు. ప్రారంభ గొలుసులు Windows షార్ట్‌కట్ (LNK) ఫైల్‌లను అందించే ఫిషింగ్ సందేశాలపై ఆధారపడి ఉన్నాయి; LNKలు పవర్‌షెల్‌ను అమలు చేశాయి, ఇది డెకాయ్ ఫైల్‌లను (ఉదాహరణకు, హానిచేయని TXT) వదిలివేసింది మరియు చివరికి నిజమైన పేలోడ్‌ను ప్రారంభించిన మోసపూరిత ఎక్జిక్యూటబుల్ (సాధారణంగా డిస్కార్డ్ వలె మారువేషంలో ఉంటుంది)ను అమలు చేసింది. 6.x ఫ్యామిలీని పంపిణీ చేసే ఇటీవలి ప్రచారాలు ఫిషింగ్ ఇమెయిల్‌లలో హానికరమైన జావాస్క్రిప్ట్ అటాచ్‌మెంట్‌లను ఉపయోగించాయి, ఇవి డెకాయ్ PDFని ప్రదర్శిస్తాయి, బ్యాక్‌గ్రౌండ్ పవర్‌షెల్‌ను అమలు చేస్తాయి, ఇది గుర్తింపును నివారించడానికి RegSvcs.exe వంటి చట్టబద్ధమైన ప్రక్రియలలోకి XWormను ఇంజెక్ట్ చేస్తుంది. బెదిరింపు నటులు GitHub రెపోలు, ఫైల్ షేరింగ్ సైట్‌లు, టెలిగ్రామ్ ఛానెల్‌లు మరియు YouTube ద్వారా XWorm భాగాల యొక్క క్రాక్ లేదా ట్రోజనైజ్డ్ వెర్షన్‌లను కూడా నెట్టారు, తక్కువ నైపుణ్యం కలిగిన ఆపరేటర్లను బ్యాక్‌డోర్ బిల్డర్‌లను ఇన్‌స్టాల్ చేయడానికి మోసగించడానికి ప్రయత్నించారు.

ఎగవేత, రిమోట్ కంట్రోల్ మరియు ఆపరేటర్ లక్షణాలు

XWorm వర్చువలైజేషన్ లేదా శాండ్‌బాక్స్ సూచికలను గుర్తించినప్పుడు అమలును నిలిపివేసే బహుళ యాంటీ-విశ్లేషణ తనిఖీలను అనుసంధానిస్తుంది. యాక్టివ్ అయిన తర్వాత, క్లయింట్ సాధారణ RAT ఆపరేషన్‌లను (ఫైల్ బదిలీ, ప్రాసెస్ మరియు సర్వీస్ మానిప్యులేషన్, షెల్ ఆదేశాలను అమలు చేయడం, URLలను తెరవడం), సిస్టమ్ నియంత్రణ (షట్‌డౌన్/పునఃప్రారంభం) మరియు DDoS కార్యాచరణను ప్రారంభించడం వంటి మరింత దూకుడు చర్యలను కవర్ చేసే C2 నుండి ఆదేశాలను అంగీకరిస్తుంది. మాడ్యులర్ ప్లగిన్ మోడల్ రిమోట్ ఆపరేటర్ 35 కంటే ఎక్కువ విభిన్న DLL పేలోడ్‌లను డిస్క్‌కు వ్రాయకుండా మెమరీలో అమలు చేయడానికి అనుమతిస్తుంది, ఫోరెన్సిక్ జాడలను తగ్గించేటప్పుడు XWormకు సౌకర్యవంతమైన దాడి ఉపరితలాన్ని ఇస్తుంది.

ప్లగిన్ డెలివరీ ప్రోటోకాల్

XWorm 6.x హాష్-ఫస్ట్ ప్లగిన్ ప్రోటోకాల్‌ను అమలు చేస్తుంది: C2 అభ్యర్థించిన DLL యొక్క SHA-256 హాష్ ప్లస్ రన్‌టైమ్ ఆర్గ్యుమెంట్‌లను కలిగి ఉన్న 'ప్లగిన్' కమాండ్‌ను జారీ చేస్తుంది. క్లయింట్ ఆ ప్లగిన్ కాష్ చేయబడిందో లేదో తనిఖీ చేస్తుంది; లేకపోతే, అది 'sendplugin'తో ఫైల్‌ను అభ్యర్థిస్తుంది. సర్వర్ ప్లగిన్‌ను బేస్64 బ్లాబ్‌గా మరియు దాని SHA-256 హాష్‌గా మోసుకెళ్లే 'savePlugin' కమాండ్‌తో ప్రత్యుత్తరం ఇస్తుంది. క్లయింట్ బ్లాబ్‌ను డీకోడ్ చేస్తుంది, హాష్‌ను ధృవీకరిస్తుంది మరియు అమలు కోసం DLLని నేరుగా మెమరీలోకి లోడ్ చేస్తుంది.

ప్రముఖ ప్లగిన్లు మరియు అవి ఏమి చేస్తాయి

• RemoteDesktop.dll — ఒక ఇంటరాక్టివ్ రిమోట్ సెషన్‌ను ఏర్పాటు చేస్తుంది.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — OS మరియు అప్లికేషన్‌ల నుండి ఆధారాలు మరియు డేటా దొంగతనం (Windows కీలు, Wi-Fi పాస్‌వర్డ్‌లు, బ్రౌజర్-నిల్వ చేసిన ఆధారాలు, యాప్-బౌండ్ ఎన్‌క్రిప్షన్ కోసం బైపాస్‌లు మరియు FileZilla, Discord, Telegram, MetaMask కోసం హార్వెస్టర్‌లు).
• FileManager.dll — ఫైల్ సిస్టమ్ యాక్సెస్ మరియు మానిప్యులేషన్.
• Shell.dll — cmd.exe ద్వారా ఆపరేటర్ ఆదేశాలను దాచిపెట్టడం.
• Informations.dll — హోస్ట్/సిస్టమ్ ఫింగర్ ప్రింటింగ్.
• Webcam.dll — నిజమైన బాధితుడిని నిర్ధారించడానికి వెబ్‌క్యామ్ చిత్రాలు/వీడియోను సంగ్రహిస్తుంది.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — నెట్‌వర్క్ కనెక్షన్‌లు, యాక్టివ్ విండోలు మరియు ఆటోస్టార్ట్ ఎంట్రీలను లెక్కిస్తుంది.
• Ransomware.dll — ఫైల్ ఎన్‌క్రిప్షన్/డీక్రిప్షన్ రొటీన్‌లు (NoCry-శైలి ransomwareతో కోడ్‌ను షేర్ చేస్తుంది).
• Rootkit.dll — సవరించిన r77 రూట్‌కిట్‌ను ఇన్‌స్టాల్ చేస్తుంది.
• ResetSurvival.dll — కొన్ని పరికర రీసెట్‌లను తట్టుకుని నిలబడటానికి Windows రిజిస్ట్రీని సవరిస్తుంది.

XWorm ఇన్ఫెక్షన్ల ద్వారా పంపిణీ చేయబడిన ఇతర మాల్వేర్లలో ఇవి ఉన్నాయి:

• డార్క్‌క్లౌడ్ స్టీలర్
• హ్వార్మ్ (VBS RAT)
• స్నేక్ కీలాగర్
• నాణేల మైనర్లు
• పూర్తిగా మాల్వేర్
• షాడో స్నిఫ్ (రస్ట్ స్టీలర్, ఓపెన్ సోర్స్)
• ఫాంటమ్ స్టీలర్
• ఫెమెడ్రోన్ స్టీలర్

ఆపరేషనల్ ఎదురుదెబ్బలు, ఫ్రాగ్మెంటేషన్ మరియు వెపనైజ్డ్ ఫోర్కులు

XWorm అభివృద్ధి సరళంగా లేదు. 2024 రెండవ భాగంలో, XCoder అనే వ్యక్తి అకస్మాత్తుగా వారి టెలిగ్రామ్ ఉనికిని తొలగించి, ప్రాజెక్ట్ భవిష్యత్తుపై సందేహాన్ని వ్యక్తం చేశాడు. అయితే, ఆ అంతరం అవకాశవాద కార్యకలాపాలకు దారితీసింది: ఇతర బెదిరింపు నటులను ప్రభావితం చేయడానికి ట్రోజనైజ్ చేయబడిన XWorm v5.6 ప్యాకేజీలను పగులగొట్టడం మరియు GitHub మరియు ఇతర పబ్లిక్ ఛానెల్‌ల ద్వారా 'స్క్రిప్ట్ కిడ్డీస్' లక్ష్యంగా చేసుకున్న సోషల్ ఇంజనీరింగ్ ప్రచారాలు - పరిశోధకులు అంచనా వేసిన ప్రచారాలు పదివేల పరికరాలను (నివేదిక ప్రకారం 18,000 కంటే ఎక్కువ) రాజీ చేయడానికి ప్రయత్నించాయి.

విశ్లేషకులు సవరించిన ఫోర్క్‌లను కూడా కనుగొన్నారు, వాటిలో XSPY (నివేదించబడిన మూలం: చైనీస్-భాషా వేరియంట్) అని లేబుల్ చేయబడిన వేరియంట్ మరియు కొన్ని బిల్డ్‌లలో క్రిటికల్ రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) బలహీనత ఉన్నాయి, దీని వలన C2 ఎన్‌క్రిప్షన్ కీని కలిగి ఉన్న ఎవరైనా సోకిన హోస్ట్‌లపై ఏకపక్ష కోడ్‌ను అమలు చేయడానికి అనుమతించారు. టూల్‌కిట్ యొక్క ఫ్రాగ్మెంటేషన్ ఆపాదింపు మరియు తొలగింపును మరింత కష్టతరం చేస్తుంది; వేర్వేరు విక్రేతలు మరియు ఫోర్క్‌లు స్వతంత్రంగా కనిపించవచ్చు మరియు అదృశ్యమవుతాయి.

2025 రీసర్ఫేసింగ్: XWorm 6.0 మరియు మార్కెట్ ప్లేస్ యాక్టివిటీ

జూన్ 4, 2025న, XCoderTools అని పిలుచుకునే ఒక విక్రేత జీవితకాల యాక్సెస్ కోసం $500 ధర గల సైబర్ క్రైమ్ ఫోరమ్‌లలో XWorm 6.0ని పోస్ట్ చేశాడు, విడుదల పూర్తిగా రీ-కోడ్ చేయబడిందని మరియు గతంలో నివేదించబడిన RCE లోపం పరిష్కరించబడిందని పేర్కొన్నాడు. ఈ విడుదల అసలు రచయిత నుండి వచ్చిందా లేదా XWorm బ్రాండ్‌ను ఉపయోగించుకునే మూడవ పక్షం నుండి వచ్చిందా అనేది అస్పష్టంగా ఉంది. గమనించిన XWorm 6.0 నమూనాలు పోర్ట్ 4411లో 94.159.113[.]64 వద్ద C2ని సంప్రదించడానికి మరియు పైన వివరించిన ప్లగిన్ ప్రోటోకాల్‌ను అమలు చేయడానికి కాన్ఫిగర్ చేయబడ్డాయి, ఇది డజన్ల కొద్దీ DLL మాడ్యూల్‌లను వేగంగా, మెమరీలో డెలివరీ చేయడానికి వీలు కల్పిస్తుంది.

బాటమ్ లైన్

XWorm జీవిత చక్రం - క్రియాశీల అభివృద్ధి నుండి వదిలివేయడం వరకు కొత్త విక్రేతలు మరియు ట్రోజనైజ్డ్ క్రాక్డ్ బిల్డ్‌ల కింద తిరిగి కనిపించడం వరకు - మాల్వేర్ ఒక పర్యావరణ వ్యవస్థ అని గుర్తు చేస్తుంది. అసలు రచయిత అదృశ్యమైనప్పటికీ, వారి కోడ్‌ను ఇతరులు ఫోర్క్ చేయవచ్చు, ఆయుధీకరించవచ్చు మరియు తిరిగి అమలు చేయవచ్చు. అందువల్ల డిఫెండర్లు విరోధులు ఇప్పటికే ఉన్న టూల్‌సెట్‌లను తిరిగి ఉపయోగిస్తారని మరియు తిరిగి ప్యాక్ చేస్తారని భావించే స్థితిస్థాపక నియంత్రణలు మరియు గుర్తింపు వ్యూహాలపై దృష్టి పెట్టాలి.