网络安全研究人员已经绘制了 XWorm 恶意软件的演变过程,将其转变为一种多功能工具,用于支持在受感染主机上执行各种恶意操作。Trellix 研究人员 Niranjan Hegde 和 Sijo Jacob 在上周发表的分析报告中指出: “XWorm 的模块化设计围绕核心客户端和一系列称为插件的专用组件构建。这些插件本质上是额外的有效载荷,旨在核心恶意软件激活后执行特定的有害操作。”XWorm于 2022 年首次被发现,与名为 EvilCoder 的攻击者有关。XWorm 是一款恶意软件,可以进行数据窃取、键盘记录、屏幕捕获、持久化,甚至勒索操作。它主要通过钓鱼邮件和宣传恶意 ScreenConnect 安装程序的虚假网站进行传播。该开发者宣传的其他工具包括基于.NET的恶意软件构建器、名为XBinder的远程访问木马,以及一款可绕过Windows系统用户帐户控制(UAC)限制的程序。近年来,XWorm的开发一直由一位名为XCoder的网络人物主导。在上个月发布的一份报告中,Trellix详细介绍了不断变化的 XWorm 感染链,这些感染链使用通过网络钓鱼电子邮件分发的 Windows 快捷方式 (LNK) 文件来执行 PowerShell 命令,这些命令会释放无害的 TXT 文件和伪装成 Discord 的欺骗性可执行文件,最终启动恶意软件。XWorm 集成了多种反分析和反规避机制,用于检查是否存在虚拟化环境的迹象,一旦发现,立即停止其执行。该恶意软件的模块化设计意味着可以从外部服务器发出各种命令,执行诸如关闭或重启系统、下载文件、打开 URL 以及发起 DDoS 攻击等操作。该公司指出:“XWorm 在威胁形势中的快速演变及其当前的盛行,凸显了强有力的安全措施对于应对不断变化的威胁至关重要。”过去一年,XWorm 的运营也遭遇了不少挫折,其中最严重的一次是 XCoder 决定在 2024 年下半年突然删除其 Telegram 帐户,导致该工具的未来岌岌可危。然而,自那以后,有人观察到攻击者传播了 XWorm 5.6 版的破解版本,其中包含恶意软件,旨在感染其他可能最终下载该恶意软件的威胁行为者。其中包括未知攻击者试图诱骗脚本小子通过 GitHub 存储库、文件共享服务、Telegram 频道和 YouTube 视频下载 XWorm RAT 构建器的木马版本,从而危害全球超过 18,459 台设备。攻击者还传播了 XWorm 的修改版本(其中一个是代号为 XSPY 的某国变种),并在恶意软件中发现了远程代码执行 (RCE) 漏洞,该漏洞允许攻击者使用命令和控制 (C2) 加密密钥执行任意代码。虽然 XCoder 放弃 XWorm 的举动似乎暗示该项目“永久关闭”,但 Trellix 表示,它发现一个名为 XCoderTools 的攻击者于 2025 年 6 月 4 日在网络犯罪论坛上以 500 美元的价格提供 XWorm 6.0 的终身访问权限,并将其描述为“完全重新编码”的版本,并修复了上述 RCE 漏洞。目前尚不清楚最新版本是否出自同一开发者之手,还是其他人利用了该恶意软件的声誉。在野外分发 XWorm 6.0 的活动在网络钓鱼电子邮件中使用了恶意 JavaScript 文件,当打开这些文件时,会显示诱饵 PDF 文档,而在后台,会执行 PowerShell 代码将恶意软件注入合法的 Windows 进程(如 RegSvcs.exe),而不会引起任何注意。XWorm V6.0 旨在通过端口 4411 连接到位于 94.159.113[.]64 的 C2 服务器,并支持名为“插件”的命令,以在受感染主机的内存上运行超过 35 个 DLL 有效负载并执行各种任务。Trellix 解释说:“当 C2 服务器发送‘plugin’命令时,它会包含插件 DLL 文件的 SHA-256 哈希值及其调用参数。然后,客户端会使用该哈希值检查该插件是否之前已收到。如果未找到密钥,客户端会向 C2 服务器发送‘sendplugin’命令以及哈希值。”然后,C2 服务器会响应命令‘savePlugin’,以及包含插件和 SHA-256 哈希值的 base64 编码字符串。客户端接收并解码插件后,会将其加载到内存中。XWorm 6.x(6.0、6.4 和 6.5)中支持的一些插件如下:
- RemoteDesktop.dll,用于创建远程会话以与受害者的机器进行交互。
- WindowsUpdate.dll、Stealer.dll、Recovery.dll、merged.dll、Chromium.dll 和 SystemCheck.Merged.dll,用于窃取受害者的数据,例如 Windows 产品密钥、Wi-Fi 密码以及来自 Web 浏览器(绕过 Chrome 的应用程序绑定加密)和其他应用程序(如 FileZilla、Discord、Telegram 和 MetaMask)的存储凭据
- FileManager.dll,为操作员提供文件系统访问和操作能力
- Shell.dll,在隐藏的cmd.exe进程中执行攻击者发送的系统命令。
- Informations.dll,用于收集有关受害者机器的系统信息。
- Webcam.dll,用于记录受害者并验证受感染的机器是否真实
- TCPConnections.dll、ActiveWindows.dll 和 StartupManager.dll,分别向 C2 服务器发送活动 TCP 连接、活动窗口和启动程序的列表
- Ransomware.dll,用于加密和解密文件并向用户勒索加密货币赎金(与 NoCry 勒索软件共享代码重叠)
- Rootkit.dll,用于安装修改后的 r77 rootkit
- ResetSurvival.dll,通过修改 Windows 注册表来恢复设备重置
XWorm 6.0 感染除了投放自定义插件外,还充当了其他恶意软件家族的传播渠道,例如 DarkCloud Stealer、Hworm(基于 VBS 的 RAT)、Snake KeyLogger、Coin Miner、Pure Malware、ShadowSniff Stealer(开源 Rust 窃取程序)、Phantom Stealer、Phemedrone Stealer 和 Remcos RAT。
Trellix 表示:“对 DLL 文件的进一步调查显示,VirusTotal 上的多个 XWorm V6.0 Builder 本身也感染了 XWorm 恶意软件,这表明 XWorm RAT 操作员已被 XWorm 恶意软件感染!”
“XWorm V6 的意外回归,配备了一系列多功能插件,涵盖从键盘记录和凭证盗窃到勒索软件等各种威胁,有力地提醒我们,没有任何恶意软件威胁真正消失。”
还没有评论,来说两句吧...