Шкідливе програмне забезпечення XWorm 6.0
Дослідники з безпеки простежили XWorm від компактної системи віддаленого доступу до високомодульної платформи, яку оператори використовують для виконання широкого спектру шкідливих операцій на скомпрометованих хостах Windows. Вперше виявлений у 2022 році та пов'язаний з групою за допомогою нікнейму EvilCoder, XWorm активно розроблявся та перероблявся особами, які використовували персони XCoder (провідний розробник до середини 2024 року), а нещодавно – такими продавцями, як XCoderTools. Його подальша еволюція та повторна поява демонструють, як швидко інструмент може бути фрагментований, перепакований та знову вийти у вільний доступ.
Зміст
Як побудовано XWorm — ядро + плагіни
Архітектура XWorm зосереджена на невеликому клієнті, який звертається до сервера Command-and-Control (C2), та великому наборі плагінів, які завантажуються в пам'ять на вимогу. Така конструкція дозволяє операторам зберігати легкий клієнт на хості, динамічно передаючи функціональність (DLL) для виконання певних завдань. Екосистема проекту також включає допоміжні інструменти, що просуваються розробниками: конструктор шкідливих програм .NET, окремий RAT під назвою XBinder та утиліту, яка намагається обійти контроль облікових записів користувачів Windows (UAC). Спільнота розробників XWorm рекламує інші компоненти та підроблені інсталятори (зокрема, шкідливі інсталятори ScreenConnect) як приманки для розповсюдження.
Ланцюги інфекції та методи доставки
Дослідники спостерігали численні, мінливі робочі процеси зараження для XWorm. Ранні ланцюги покладалися на фішингові повідомлення, які доставляли файли ярликів Windows (LNK); LNK виконували PowerShell, який розміщував файли-приманки (наприклад, нешкідливий TXT) та оманливий виконуваний файл (зазвичай маскуваний під Discord), який зрештою запускав справжнє корисне навантаження. Пізніші кампанії, що розповсюджували сімейство 6.x, використовували шкідливі вкладення JavaScript у фішингових електронних листах, які відображали PDF-файл-приманку під час виконання фонового PowerShell, який впроваджує XWorm у легітимні процеси, такі як RegSvcs.exe, щоб уникнути виявлення. Зловмисники також поширювали зламані або троянські версії компонентів XWorm через репозиторії GitHub, сайти обміну файлами, канали Telegram та YouTube, намагаючись обманом змусити менш кваліфікованих операторів встановити збірники бекдорів.
Ухилення, дистанційне керування та функції оператора
XWorm інтегрує кілька антианалізних перевірок, які переривають виконання, коли виявляють індикатори віртуалізації або "пісочниці". Після активації клієнт приймає команди від C2, які охоплюють поширені операції RAT (передача файлів, маніпулювання процесами та службами, виконання команд оболонки, відкриття URL-адрес), керування системою (вимкнення/перезавантаження) та більш агресивні дії, такі як запуск DDoS-активності. Модульна модель плагінів дозволяє віддаленому оператору запускати понад 35 різних корисних даних DLL у пам'яті без запису їх на диск, що надає XWorm гнучку поверхню для атаки, одночасно зменшуючи сліди судово-медичної експертизи.
Протокол доставки плагінів
XWorm 6.x реалізує протокол плагінів «спочатку хешування»: C2 видає команду «plugin», яка містить SHA-256-хеш запитуваної DLL плюс аргументи середовища виконання. Клієнт перевіряє, чи вже кешовано цей плагін; якщо ні, він запитує файл за допомогою «sendplugin». Сервер відповідає командою «savePlugin», яка містить плагін як base64-блоб та його SHA-256-хеш. Клієнт декодує блоб, перевіряє хеш та завантажує DLL безпосередньо в пам'ять для виконання.
Відомі плагіни та що вони роблять
- RemoteDesktop.dll — встановлює інтерактивний віддалений сеанс.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — крадіжка облікових даних та даних з ОС та програм (ключі Windows, паролі Wi-Fi, облікові дані, що зберігаються в браузері, включаючи обхідні шляхи для шифрування, пов’язаного з програмами, та засоби збору даних для FileZilla, Discord, Telegram, MetaMask).
- FileManager.dll — доступ до файлової системи та маніпулювання нею.
- Shell.dll — приховане виконання команд оператора через cmd.exe.
- Informations.dll — зняття відбитків пальців хоста/системи.
- Webcam.dll — захоплює зображення/відео з веб-камери для підтвердження справжньої жертви.
- TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — перераховує мережеві підключення, активні вікна та записи автозапуску.
- Ransomware.dll — процедури шифрування/дешифрування файлів (спільно використовує код із програмою-вимагачем у стилі NoCry).
- Rootkit.dll — встановлює модифікований руткіт r77.
- ResetSurvival.dll — змінює реєстр Windows, щоб витримати скидання налаштувань певних пристроїв.
Інші шкідливі програми, що розповсюджуються через зараження XWorm, включають:
- Викрадач Темної Хмари
- Hworm (VBS RAT)
- Змія Кейлогер
- Майнери монет
- Чисте шкідливе програмне забезпечення
- ShadowSniff (викрадач іржі, з відкритим кодом)
- Фантомний викрадач
- Викрадач фемедрону
Оперативні невдачі, фрагментація та озброєні відгалуження
Розвиток XWorm не був лінійним. У другій половині 2024 року персонаж XCoder раптово видалив свою присутність у Telegram, що поставило під сумнів майбутнє проєкту. Однак ця прогалина породила опортуністичну активність: зламані пакети XWorm версії 5.6, які самі були заражені троянами для зараження інших зловмисників, а також кампанії соціальної інженерії, спрямовані на «скриптових дітей» через GitHub та інші публічні канали — кампанії, які, за оцінками дослідників, намагалися скомпрометувати десятки тисяч пристроїв (за повідомленнями, понад 18 000).
Аналітики також виявили модифіковані форки, включаючи варіант з позначкою XSPY (за повідомленнями, походження: китайськомовний варіант) та критичну вразливість віддаленого виконання коду (RCE) у деяких збірках, яка дозволяла комусь, хто володіє ключем шифрування C2, виконувати довільний код на заражених хостах. Фрагментація інструментарію ускладнює атрибуцію та видалення; різні продавці та форки можуть з'являтися та зникати незалежно.
Оновлення 2025 року: XWorm 6.0 та активність на Marketplace
4 червня 2025 року постачальник, який називає себе XCoderTools, опублікував XWorm 6.0 на форумах з кіберзлочинності за ціною 500 доларів США за довічний доступ, стверджуючи, що реліз був повністю перекодований, а раніше повідомлений недолік RCE був виправлений. Незрозуміло, чи цей реліз був створений оригінальним автором, чи третьою стороною, яка використовує бренд XWorm. Спостережувані зразки XWorm 6.0 налаштовані на зв'язок з C2 за адресою 94.159.113[.]64 через порт 4411 та реалізують протокол плагіна, описаний вище, що дозволяє швидко доставляти десятки DLL-модулів в пам'ять.
Підсумок
Життєвий цикл XWorm — від активної розробки через занепад до повторної появи під впливом нових продавців та троянських зламаних збірок — нагадує нам, що шкідливе програмне забезпечення — це екосистема. Навіть якщо оригінальний автор зникає, його код може бути розщеплений, перетворений на зброю та повторно розгорнутий іншими. Тому захисники повинні зосередитися на стійких елементах контролю та стратегіях виявлення, які передбачають, що зловмисники повторно використовуватимуть та перепаковуватимуть існуючі набори інструментів.
