Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại XWorm RAT

XWorm RAT

Đến năm Mezo năm Phần mềm độc hại, Công cụ quản lý từ xa, Kẻ trộm
Dịch sang:

Thẻ điểm Đe doạ

Popularity Rank: 4,582
Mức độ nguy hiểm: 80 % (Cao)
Máy tính bị nhiễm: 353
Lần đầu tiên nhìn thấy: April 24, 2023
Nhìn thấy lần cuối: April 8, 2026
(Các) hệ điều hành bị ảnh hưởng: Windows

Phần mềm độc hại XWorm được xác định là mối đe dọa từ danh mục Trojan Truy cập Từ xa (RAT). RAT được thiết kế đặc biệt để cho phép tội phạm mạng truy cập và kiểm soát trái phép máy tính của nạn nhân. Với việc sử dụng RAT, kẻ tấn công có thể theo dõi và quan sát từ xa các hoạt động của người dùng, ăn cắp dữ liệu nhạy cảm và thực hiện một loạt các hoạt động độc hại trên hệ thống bị xâm nhập, tùy thuộc vào mục tiêu cụ thể của chúng. Theo các nhà nghiên cứu, XWorm RAT được các nhà phát triển của nó rao bán với mức giá 400 USD.

XWorm RAT có thể đánh cắp nhiều loại thông tin nhạy cảm

XWorm RAT sở hữu một loạt các khả năng khiến nó trở thành một mối đe dọa cực kỳ tinh vi và nguy hiểm trong tay tội phạm mạng. Một trong những chức năng chính của nó là khả năng đánh cắp thông tin hệ thống có giá trị từ máy tính của nạn nhân một cách lén lút. RAT có thể đánh cắp dữ liệu nhạy cảm từ các trình duyệt phổ biến. XWorm có thể trích xuất mật khẩu, cookie, chi tiết thẻ tín dụng, dấu trang, nội dung tải xuống, từ khóa và lịch sử duyệt web từ trình duyệt Chromium. Tương tự, nó có thể ăn cắp mật khẩu, cookie, dấu trang và lịch sử từ trình duyệt Firefox, làm tổn hại nghiêm trọng đến tính bảo mật của các hoạt động trực tuyến của nạn nhân.

Hơn nữa, các khả năng của XWorm bao gồm nhắm mục tiêu vào nhiều ứng dụng và dịch vụ. Nó có thể đánh cắp dữ liệu phiên Telegram, mã thông báo Discord, mật khẩu WiFi, dữ liệu Metamask và FileZilla. Ngoài ra, XWorm có thể truy cập Registry Editor, ghi nhật ký các lần gõ phím, chạy phần mềm tống tiền để mã hóa tệp và yêu cầu tiền chuộc, đồng thời thao tác dữ liệu, dịch vụ và quy trình trong khay nhớ tạm.

Ngoài hành vi đánh cắp thông tin, XWorm còn có khả năng thực thi các tệp, cấp cho kẻ tấn công quyền chạy các chương trình độc hại và tải trọng khác nhau trên hệ thống bị xâm nhập. Ngoài ra, Trojan có thể truy cập trái phép vào webcam và micrô của nạn nhân, gây ra sự xâm phạm đáng kể quyền riêng tư và cho phép kẻ tấn công giám sát các hoạt động của nạn nhân. Phạm vi tiếp cận của XWorm còn mở rộng hơn nữa vì nó có thể mở URL, thực thi lệnh shell và quản lý tệp, giúp kẻ tấn công kiểm soát hoàn toàn máy tính của nạn nhân một cách hiệu quả.

Những kẻ tấn công thậm chí có thể sử dụng XWorm để bật hoặc tắt các thành phần và tính năng quan trọng của hệ thống như Kiểm soát tài khoản người dùng (UAC), Trình chỉnh sửa sổ đăng ký, Trình quản lý tác vụ, Tường lửa và các bản cập nhật hệ thống. Khả năng kích hoạt Màn hình xanh chết chóc (BSoD) bổ sung thêm một lớp gián đoạn và khả năng gây thiệt hại cho hệ thống của nạn nhân.

XWorm RAT có thể được sử dụng để phân phối tải trọng ransomware trên các thiết bị bị vi phạm

Một khả năng quan trọng của XWorm là khả năng thực hiện các cuộc tấn công ransomware. Ransomware đang đe dọa phần mềm mã hóa tệp, khiến chúng không thể truy cập được nếu không có khóa giải mã cụ thể. Sau đó, những người điều hành XWorm có thể yêu cầu nạn nhân thanh toán để đổi lấy việc cung cấp phần mềm giải mã cần thiết để lấy lại quyền truy cập vào các tệp được mã hóa.

Ngoài ra, XWorm đã được quan sát thấy đang bị tội phạm mạng sử dụng để chiếm quyền điều khiển khay nhớ tạm. Kỹ thuật này liên quan đến việc giám sát phần mềm độc hại và chặn dữ liệu được sao chép vào khay nhớ tạm của nạn nhân, với trọng tâm cụ thể là thay thế địa chỉ ví tiền điện tử. Chẳng hạn, nếu nạn nhân sao chép địa chỉ ví Bitcoin, Ethereum hoặc tiền điện tử khác, XWorm sẽ phát hiện dữ liệu và thay thế nó bằng địa chỉ ví do tội phạm mạng sở hữu. Do đó, nạn nhân vô tình gửi tiền của họ vào ví của tin tặc thay vì địa chỉ của người nhận dự kiến.

Phạm vi mở rộng của các khả năng độc hại được quan sát thấy trong XWorm RAT cũng bao gồm chức năng ghi bàn phím. Keylogging liên quan đến quá trình có hại để chụp và ghi lại một cách bí mật tất cả các thao tác nhập bàn phím do người dùng thực hiện trên hệ thống bị nhiễm. Điều này có nghĩa là mật khẩu, thông tin đăng nhập, tin nhắn nhạy cảm và thông tin cá nhân khác được ghi lại một cách lén lút và truyền đến máy chủ Chỉ huy và Kiểm soát của kẻ tấn công.

Báo cáo phân tích

Thông tin chung

Family Name: Keylogger.XWormRAT
Signature status: Self Signed

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Kích thước tập tin: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Kích thước tập tin: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Kích thước tập tin: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Kích thước tập tin: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Kích thước tập tin: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Kích thước tập tin: 265.73 KB, 265728 bytes
MD5: 65d0a7755d74384f5055dd3b6af0cc4d
SHA1: 4c5fc802b2fd21968cd23e8ccf670f047b2d886e
SHA256: 6CCF676F2A8A079838085894C8039408F5E463663AD880A64EEB933A7C927449
Kích thước tập tin: 11.78 KB, 11776 bytes
MD5: 60631806cffc9ef3b048d4d52b06fdb5
SHA1: ab2f4dddb861207328134ed450c90def1b15f638
SHA256: 0957B6708D693848F3C9D4544DE95E044BE691670E83B199157CA87A398BEC49
Kích thước tập tin: 40.96 KB, 40960 bytes
MD5: 7800b8cc29632ba356e56836453e84fa
SHA1: 6b6daa1115657576393bb302ad0abd590f9d7549
SHA256: 51AA320823FE8A588EF618EECE24DC71F7DAE3B4B8A88E5E6C69F2BEA09CAD88
Kích thước tập tin: 2.91 MB, 2908304 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Tên Giá trị
Assembly Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Company Name
  • Synaptics
  • www.UnlockClient.co
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
File Version
  • 1.0.0.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Internal Name
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
  • www.UnlockClient.co
Original Filename
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
Product Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0

Digital Signatures

Signer Root Status
UnlockClient.co UnlockClient.co Self Signed

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 3
Potentially Malicious Blocks: 0
Whitelisted Blocks: 3
Unknown Blocks: 0

Visual Map

0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.LD
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
Show More
  • MSIL.Kryptik.AR
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Dữ liệu API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

xu hướng

Vụ lừa đảo Mr Beast trên Discord

Lừa đảo, Thư rác
Để đảm bảo an toàn trực tuyến, cần luôn cảnh giác và có một mức độ hoài nghi nhất định. Tội phạm mạng ngày càng lợi dụng các xu hướng phổ biến và những nhân vật đáng tin cậy để lừa đảo người dùng, và các vụ lừa đảo liên quan đến những người có tầm ảnh hưởng nổi tiếng đang trở nên phổ biến hơn. Vụ lừa đảo Mr Beast trên Discord là một ví dụ rõ ràng về cách kẻ tấn công thao túng lòng tin và sự tò...

Email lừa đảo "Dịch vụ đám mây của bạn đã bị vô hiệu...

Lừa đảo, Thư rác
Những email bất ngờ, đặc biệt là những email gây khẩn cấp hoặc lo ngại, luôn cần được xử lý thận trọng. Tội phạm mạng thường ngụy trang các tin nhắn lừa đảo thành các thông báo hợp pháp để lừa người nhận thực hiện các hành động nguy hiểm. Điều quan trọng cần nhấn mạnh là các trò lừa đảo như email "Dịch vụ đám mây của bạn đã bị vô hiệu hóa" không liên quan đến bất kỳ công ty, tổ chức hoặc nhà...

Xem nhiều nhất

Đang tải...