Phần mềm độc hại XWorm 6.0

Các nhà nghiên cứu bảo mật đã lần theo dấu vết XWorm từ một khuôn khổ truy cập từ xa nhỏ gọn thành một nền tảng mô-đun cao mà các hacker sử dụng để thực hiện một loạt các hoạt động độc hại trên các máy chủ Windows bị xâm nhập. Được phát hiện lần đầu tiên vào năm 2022 và liên kết đến một nhóm sử dụng tên EvilCoder, XWorm đã được tích cực phát triển và cải tiến bởi các cá nhân sử dụng tên XCoder (nhà phát triển chính cho đến giữa năm 2024) và gần đây hơn là các nhà cung cấp như XCoderTools. Sự phát triển và tái xuất liên tục của nó cho thấy một công cụ có thể phân mảnh, đóng gói lại và tái xâm nhập nhanh chóng như thế nào.

Cách xây dựng XWorm — Lõi + Plugin

Kiến trúc của XWorm tập trung vào một máy khách nhỏ kết nối đến máy chủ Command-and-Control (C2) và một tập hợp lớn các payload plug-in được tải vào bộ nhớ theo yêu cầu. Thiết kế này cho phép người vận hành giữ máy khách nhẹ trên máy chủ trong khi vẫn đẩy các chức năng (DLL) một cách linh hoạt để thực hiện các tác vụ cụ thể. Hệ sinh thái của dự án cũng bao gồm các công cụ bổ trợ được các nhà phát triển quảng bá: trình xây dựng phần mềm độc hại .NET, một RAT riêng biệt có tên là XBinder, và một tiện ích cố gắng vượt qua Kiểm soát Tài khoản Người dùng Windows (UAC). Cộng đồng nhà phát triển xung quanh XWorm đã quảng cáo các thành phần khác và trình cài đặt giả mạo (đáng chú ý là trình cài đặt ScreenConnect độc hại) như những mồi nhử phát tán.

Chuỗi lây nhiễm và kỹ thuật phân phối

Các nhà nghiên cứu đã quan sát thấy nhiều quy trình lây nhiễm biến đổi của XWorm. Các chuỗi ban đầu dựa vào các tin nhắn lừa đảo gửi các tệp lối tắt Windows (LNK); các LNK này thực thi PowerShell, thả các tệp mồi (ví dụ: TXT vô hại) và một tệp thực thi lừa đảo (thường giả dạng Discord) cuối cùng khởi chạy tải trọng thực sự. Các chiến dịch gần đây hơn phân phối họ 6.x đã sử dụng các tệp đính kèm JavaScript độc hại trong email lừa đảo hiển thị tệp PDF mồi trong khi thực thi PowerShell nền để đưa XWorm vào các quy trình hợp pháp như RegSvcs.exe để tránh bị phát hiện. Các tác nhân đe dọa cũng đã đẩy các phiên bản bẻ khóa hoặc trojan hóa của các thành phần XWorm thông qua các kho lưu trữ GitHub, các trang web chia sẻ tệp, kênh Telegram và YouTube, cố gắng lừa những người điều hành ít kỹ năng hơn cài đặt các trình xây dựng có cửa hậu.

Tính năng né tránh, điều khiển từ xa và điều hành

XWorm tích hợp nhiều kiểm tra chống phân tích, giúp hủy bỏ việc thực thi khi phát hiện các dấu hiệu ảo hóa hoặc hộp cát. Khi được kích hoạt, máy khách sẽ chấp nhận các lệnh từ C2 bao gồm các hoạt động RAT phổ biến (truyền tệp, thao tác quy trình và dịch vụ, thực thi lệnh shell, mở URL), kiểm soát hệ thống (tắt máy/khởi động lại) và các hành động mạnh mẽ hơn như khởi chạy hoạt động DDoS. Mô hình plugin dạng mô-đun cho phép người vận hành từ xa chạy hơn 35 tải trọng DLL khác nhau trong bộ nhớ mà không cần ghi chúng vào đĩa, mang lại cho XWorm một bề mặt tấn công linh hoạt đồng thời giảm thiểu dấu vết pháp y.

Giao thức phân phối plugin

XWorm 6.x triển khai giao thức plugin băm trước: C2 phát lệnh 'plugin' chứa mã băm SHA-256 của DLL được yêu cầu cùng với các đối số thời gian chạy. Máy khách kiểm tra xem plugin đó đã được lưu trong bộ nhớ đệm chưa; nếu chưa, máy chủ sẽ yêu cầu tệp bằng lệnh 'sendplugin'. Máy chủ trả lời bằng lệnh 'savePlugin' chứa plugin dưới dạng blob base64 và mã băm SHA-256 của nó. Máy khách giải mã blob, xác minh mã băm và tải DLL trực tiếp vào bộ nhớ để thực thi.

Các plugin đáng chú ý và chức năng của chúng

• RemoteDesktop.dll — thiết lập phiên làm việc từ xa tương tác.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — đánh cắp thông tin đăng nhập và dữ liệu từ hệ điều hành và ứng dụng (khóa Windows, mật khẩu Wi-Fi, thông tin đăng nhập được lưu trữ trên trình duyệt, bao gồm cả việc bỏ qua mã hóa liên kết ứng dụng và trình thu thập thông tin cho FileZilla, Discord, Telegram, MetaMask).
• FileManager.dll — truy cập và thao tác hệ thống tập tin.
• Shell.dll — thực thi ẩn các lệnh điều hành thông qua cmd.exe.
• Informations.dll — dấu vân tay máy chủ/hệ thống.
• Webcam.dll — chụp ảnh/video từ webcam để xác nhận nạn nhân thực sự.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — liệt kê các kết nối mạng, cửa sổ đang hoạt động và các mục khởi động tự động.
• Ransomware.dll — chương trình mã hóa/giải mã tệp (chia sẻ mã với ransomware kiểu NoCry).
• Rootkit.dll — cài đặt rootkit r77 đã sửa đổi.
• ResetSurvival.dll — sửa đổi Windows Registry để có thể tồn tại sau một số lần thiết lập lại thiết bị.

Các phần mềm độc hại khác được phân phối thông qua nhiễm trùng XWorm bao gồm:

• Kẻ đánh cắp DarkCloud
• Hworm (VBS RAT)
• Snake KeyLogger
• Thợ đào tiền xu
• Phần mềm độc hại thuần túy
• ShadowSniff (kẻ đánh cắp Rust, mã nguồn mở)
• Kẻ đánh cắp bóng ma
• Kẻ trộm Phemedrone

• Chuột Remcos

Những trở ngại trong hoạt động, sự phân mảnh và vũ khí hóa các nhánh

Quá trình phát triển của XWorm không hề diễn ra theo đường thẳng. Vào nửa cuối năm 2024, nhân vật XCoder đột ngột xóa tài khoản Telegram, gây nghi ngờ về tương lai của dự án. Tuy nhiên, khoảng trống đó đã tạo ra những hoạt động cơ hội: bẻ khóa các gói XWorm v5.6, vốn đã bị trojan hóa để lây nhiễm cho các tác nhân đe dọa khác, và các chiến dịch tấn công kỹ thuật xã hội nhắm vào "script kiddies" thông qua GitHub và các kênh công khai khác — các chiến dịch mà các nhà nghiên cứu ước tính đã cố gắng xâm nhập hàng chục nghìn thiết bị (được báo cáo là hơn 18.000).

Các nhà phân tích cũng phát hiện ra các nhánh đã bị sửa đổi, bao gồm một biến thể được gắn nhãn XSPY (nguồn gốc được báo cáo: biến thể tiếng Trung) và một điểm yếu nghiêm trọng trong việc thực thi mã từ xa (RCE) trong một số bản dựng, cho phép kẻ tấn công sở hữu khóa mã hóa C2 thực thi mã tùy ý trên các máy chủ bị nhiễm. Tính phân mảnh của bộ công cụ khiến việc xác định và gỡ bỏ trở nên khó khăn hơn; nhiều người bán và nhánh khác nhau có thể xuất hiện và biến mất một cách độc lập.

Tái tạo bề mặt năm 2025: XWorm 6.0 và hoạt động thị trường

Vào ngày 4 tháng 6 năm 2025, một nhà cung cấp tự xưng là XCoderTools đã đăng XWorm 6.0 lên các diễn đàn tội phạm mạng với giá 500 đô la cho quyền truy cập trọn đời, tuyên bố rằng phiên bản này đã được mã hóa lại hoàn toàn và lỗ hổng RCE được báo cáo trước đó đã được khắc phục. Hiện chưa rõ liệu bản phát hành này đến từ tác giả gốc hay từ một bên thứ ba lợi dụng thương hiệu XWorm. Các mẫu XWorm 6.0 được quan sát thấy được cấu hình để liên hệ với C2 tại 94.159.113[.]64 trên cổng 4411 và triển khai giao thức plugin được mô tả ở trên, cho phép phân phối nhanh chóng hàng chục mô-đun DLL trong bộ nhớ.

Kết luận

Vòng đời của XWorm — từ giai đoạn phát triển tích cực, bị bỏ rơi cho đến khi xuất hiện trở lại dưới những nhà cung cấp mới và các bản dựng bị bẻ khóa trojan — là một lời nhắc nhở rằng phần mềm độc hại là một hệ sinh thái. Ngay cả khi tác giả gốc biến mất, mã của họ vẫn có thể bị phân nhánh, biến thành vũ khí và được triển khai lại bởi những người khác. Do đó, các bên phòng thủ phải tập trung vào các biện pháp kiểm soát và chiến lược phát hiện linh hoạt, giả định rằng kẻ tấn công sẽ tái sử dụng và đóng gói lại các bộ công cụ hiện có.