Cybersecurity -onderzoekers hebben de evolutie van Xworm -malware in kaart gebracht, waardoor het een veelzijdig hulpmiddel is gemaakt voor het ondersteunen van een breed scala aan kwaadaardige acties op gecompromitteerde gastheren.
“Het modulaire ontwerp van Xworm is gebouwd rond een kernclient en een scala aan gespecialiseerde componenten die bekend staan als plug -ins,” zeiden Trellix -onderzoekers Niranjan Hegde en Sijo Jacob in een analyse die vorige week werd gepubliceerd. “Deze plug -ins zijn in wezen extra payloads die zijn ontworpen om specifieke schadelijke acties uit te voeren zodra de kernmalware actief is.”
Xworm, voor het eerst waargenomen in 2022 en gekoppeld aan een dreigingsacteur genaamd Evilcoder, is een Zwitsers zakmes van malware dat gegevensdiefstal, keylogging, schermopname, persistentie en zelfs ransomware -bewerkingen kan vergemakkelijken. Het wordt voornamelijk gepropageerd via phishing -e -mails en nep -sites die adverteren voor kwaadaardige screenconnectinstallateurs.
Enkele van de andere door de ontwikkelaar geadverteerde tools zijn een .NET-gebaseerde malwarebuilder, een externe toegang Trojan genaamd Xbinder en een programma dat de beperkingen van User Account Control (UAC) op Windows Systems kan omzeilen. In de afgelopen jaren is de ontwikkeling van Xworm geleid door een online persona genaamd Xcoder.
In een rapport dat vorige maand werd gepubliceerd, gedetailleerde verschuiving van de Xworm -infectieketens die Windows Shortcut (LNK) -bestanden hebben gebruikt die zijn gedistribueerd via phishing -e -mails om PowerShell -opdrachten uit te voeren die een onschadelijk TXT -bestand laten vallen en een bedrieglijk uitvoerbare maskerading als discord, die uiteindelijk de malware lanceert.
Xworm neemt verschillende anti-analyse en anti-ontwijkingsmechanismen op om te controleren op veelzeggende tekenen van een gevirtualiseerde omgeving, en zo ja, stopt onmiddellijk de uitvoering ervan. De modulariteit van de malware betekent dat verschillende opdrachten van een externe server kunnen worden uitgegeven om acties uit te voeren, zoals het afsluiten of opnieuw opstarten van het systeem, het downloaden van bestanden, het openen van URL’s en het initiëren van DDOS -aanvallen.
“Deze snelle evolutie van Xworm binnen het dreigingslandschap, en de huidige prevalentie ervan, benadrukt het cruciale belang van robuuste beveiligingsmaatregelen om steeds veranderende bedreigingen te bestrijden,” merkte het bedrijf op.
De activiteiten van Xworm zijn het afgelopen jaar ook getuige geweest van hun aandeel van tegenslagen, de belangrijkste is de beslissing van Xcoder om hun telegram -account abrupt te verwijderen in de tweede helft van 2024, waardoor de toekomst van de tool in het limbo wordt achtergelaten. Sindsdien zijn bedreigingsactoren echter waargenomen die een gebarsten versie van Xworm versie 5.6 distribueren die malware bevatte om andere dreigingsacteurs te infecteren die het uiteindelijk kunnen downloaden.
Dit omvatte pogingen van een onbekende dreigingsacteur om scriptkiddies te bedriegen om een Trojanized-versie van de Xworm Rat Builder te downloaden via GitHub-repositories, services voor het delen van bestanden, telegramkanalen en YouTube-video’s om meer dan 18,459 devices te compromitteren.
Deze inspanningen zijn ook aangevuld met aanvallers die gemodificeerde versies van Xworm distribueren-waarvan er een een Chinese variant is met codenaam XSPY-evenals de ontdekking van een externe code-uitvoering (RCE) kwetsbaarheid in de malware waarmee aanvallers met de command-and-control (C2) coderingssleutel arbitrary code kunnen uitvoeren.
Terwijl de schijnbare verlaten van Xworm door Xcoder de mogelijkheid verhoogde dat het project “voorgoed gesloten was”, zei Trellix dat het een dreigingsacteur met de naam Xcodertools zag die Xworm 6.0 aanbood op cybercriminaliteitsforums op 4 juni 2025, voor $ 500 voor levenslange toegang en beschreef het als een “volledig herhaalde” versie met een oplossing voor de Aforemende RCE FLAW. Het is momenteel niet bekend of de nieuwste versie het werk is van dezelfde ontwikkelaar of iemand anders die profiteert van de reputatie van de malware.
Campagnes die Xworm 6.0 in het wild distribueren, hebben kwaadaardige JavaScript -bestanden in phishing -e -mails gebruikt die, wanneer geopend, een Decoy PDF -document weergeven, terwijl op de achtergrond PowerShell -code wordt uitgevoerd om de malware in een legitiem Windows -proces zoals RegSvcs.exe te injecteren zonder aandacht te schenken.
Xworm v6.0 is ontworpen om verbinding te maken met de C2 -server op 94.159.113 (.) 64 op poort 4411 en ondersteunt een opdracht met de naam “plugin” om meer dan 35 dll -payloads op het geheugen van de geïnfecteerde host uit te voeren en verschillende taken uit te voeren.
“Wanneer de C2-server de opdracht ‘plug-in’ verzendt, bevat het de SHA-256-hash van het plug-in DLL-bestand en de argumenten voor de aanroep,” legde Trellix uit. “De client gebruikt vervolgens de hash om te controleren of de plug -in eerder is ontvangen. Als de sleutel niet wordt gevonden, verzendt de client een ‘sendplugin’ -opdracht naar de C2 -server, samen met de hash.”
“De C2-server reageert vervolgens met de opdracht ‘saveplugin’ samen met een Base64-gecodeerde string met de plug-in en SHA-256 hash. Bij het ontvangen en decoderen van de plug-in laadt de client de plug-in in het geheugen.”
Sommige van de ondersteunde plug -ins in Xworm 6.x (6.0, 6.4 en 6.5) worden hieronder vermeld –
- Remotedesktop.dllom een externe sessie te maken om te communiceren met de machine van het slachtoffer.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, Mused.dll, Chromium.dll en SystemCheck.Mermed.dllom de gegevens van het slachtoffer te stelen, zoals Windows-productsleutels, Wi-Fi-wachtwoorden en opgeslagen referenties van webbrowsers (omzeilen van de app-gebonden codering van Chrome) en andere applicaties zoals Filezilla, Discord, Telegram en Metamask
- FilEmanager.dllom de toegangs- en manipulatiemogelijkheden van bestandssystemen te vergemakkelijken tot de operator
- Shell.dllom systeemopdrachten uit te voeren die door de operator zijn verzonden in een verborgen CMD.exe -proces.
- Informaties.dllom systeeminformatie te verzamelen over de machine van het slachtoffer.
- Webcam.dllom het slachtoffer op te nemen en te verifiëren of een geïnfecteerde machine echt is
- TCPConnections.dll, ActiveWindows.dll en StartupManager.dllom een lijst met actieve TCP -verbindingen, actieve Windows en opstartprogramma’s te verzenden, respectievelijk naar de C2 -server
- Ransomware.dllom bestanden te coderen en te decoderen en gebruikers af te persen voor een cryptocurrency -losgeld (deeltcode overlapt met nocry ransomware)
- Rootkit.dllom een aangepaste R77 -rootkit te installeren
- Resetsurvival.dllom het apparaat te overleven door Windows -registeraanpassingen te resetten
Xworm 6.0-infecties, naast het laten vallen van aangepaste plug-ins, hebben ook gediend als een kanaal voor andere malwarefamilies zoals DarkCloud Stealer, H-Worm (VBS-gebaseerde rat), Snake Keylogger, Coin Miner, Pure Malware, Shadowsniff Stealer (open-source roeststealer), Phantom Stealer, Phemedrone Stealer, en Remcos Rat.
“Verder onderzoek van het DLL -bestand onthulde meerdere Xworm V6.0 -bouwers op Virustotal die zelf zijn geïnfecteerd met Xworm -malware, wat suggereert dat een Xworm Rat -operator is aangetast door Xworm Malware!,” Zei Trellix.
“De onverwachte terugkeer van Xworm V6, gewapend met een veelzijdige reeks plug -ins voor alles, van keylogging en diefstal van de referentie tot ransomware, dient als een krachtige herinnering dat er geen malwaredreiging ooit echt is verdwenen.”
