导语:XWorm是2022年首次被发现的远程访问木马(RAT),凭借模块化设计与丰富功能,成为网络犯罪分子常用的高效恶意软件。
自XWorm后门原开发者XCoder去年放弃该项目后,其新版本已通过钓鱼攻击传播。最新变体XWorm 6.0、6.4及6.5已被多个威胁者采用,且支持插件功能——这些插件可实现各类恶意操作,包括从浏览器与应用中窃取数据、通过远程桌面与Shell权限控制主机、对文件进行加解密等。
XCoder开发的最后一个已知版本为XWorm 5.6,该版本存在远程代码执行漏洞,而近期的新版本已修复此问题。
一、XWorm核心特性:模块化架构成优势,传播覆盖多国家
XWorm是2022年首次被发现的远程访问木马,凭借模块化设计与丰富功能,成为网络犯罪分子常用的高效恶意软件。
其典型恶意用途包括:
·收集敏感数据,如密码、加密货币钱包信息、财务数据;
·记录键盘输入、窃取剪贴板内容;
·发起分布式拒绝服务(DDoS)攻击、加载其他恶意软件。
在XCoder删除用于发布更新的Telegram账号后,多个威胁者开始传播该恶意软件的破解版本。
XWorm的流行程度极高,甚至有威胁者将其作为“诱饵”,针对技术水平较低的网络犯罪分子植入另一款数据窃取后门——该攻击事件最终导致18459台设备感染,受影响设备主要分布在俄罗斯、美国、印度、乌克兰与土耳其。
二、传播方式:多渠道进化,融合社会工程与技术手段
1. 地下市场流通与样本激增
黑客论坛上有一个名为“XCoderTools”的账号,已开始推广XWorm新版本,提供终身使用权限的订阅价格为500美元。目前尚不确定该账号是否为原开发者XCoder,但账号声称新版本已修复RCE漏洞,并包含多项更新。
网络安全公司Trellix的研究人员发现,自今年6月起,VirusTotal扫描平台上的XWorm样本数量显著增加,这一现象也表明该恶意软件在网络犯罪分子中的使用率正大幅上升。
2. 攻击链升级:不止于传统邮件钓鱼
在多起攻击事件中,XWorm的传播途径呈现多样化特征:
·某钓鱼攻击通过恶意JavaScript脚本触发PowerShell脚本,绕过反恶意软件扫描接口(AMSI)防护后部署XWorm;
·有攻击利用AI主题诱饵、经篡改的ScreenConnect远程访问工具传播;
·另有攻击将shellcode嵌入微软Excel文件(.XLAM),通过钓鱼邮件诱导打开以植入恶意软件。
XWorm 感染链
Trellix在9月的报告中指出:“XWorm的感染链已实现进化,除传统邮件攻击外,还融入了更多技术手段。”当前其初始入侵途径仍包括邮件与.LNK文件,但同时会使用“看似合法的.exe文件名”伪装成无害应用(如仿冒社交软件Discord)。Trellix表示:“这标志着攻击者正转向‘社会工程学+技术攻击向量’的结合模式,以提升攻击成功率。”
三、插件功能:35+模块覆盖窃密到勒索,与NoCry勒索软件存在代码关联
据Trellix研究人员披露,XWorm目前已拥有35个以上插件,功能覆盖从敏感信息窃取到勒索攻击的全场景。
1. 勒索模块(Ransomware.dll):定制化加密,仿NoCry技术
XWorm 运营商发起勒索软件攻击
该模块具备文件加密功能,网络犯罪分子可通过它设置“加密后桌面壁纸”“赎金金额”“钱包地址”及“联系邮箱”。
加密过程会避开系统文件与文件夹,专注加密%USERPROFILE%目录和“文档”目录下的数据,加密后会删除原始文件,并为锁定文件添加.ENC后缀。
受害者桌面会被植入一个HTML文件,内含解密指引,包括比特币(BTC)地址、联系邮箱与赎金金额。
XWorm 勒索软件模块加密
研究人员发现,XWorm勒索模块与2021年首次发现的.NET架构NoCry勒索软件存在代码重叠——两者使用相同算法生成初始化向量(IV)与加解密密钥,且均采用“AES-CBC模式、4096字节块”的加密流程,甚至对分析环境的验证逻辑也完全一致。
2. 其他14类核心插件功能
除勒索模块外,Trellix还分析了XWorm的14类关键插件,功能可分为控制、窃密、系统探测三大类:
·远程控制类:
RemoteDesktop.dll:创建远程会话,实现对受害者设备的交互控制;
Shell.dll:在隐藏的cmd.exe进程中执行攻击者发送的系统命令;
FileManager.dll:为攻击者提供文件系统访问与操作权限。
·数据窃取类:
WindowsUpdate.dll、Stealer.dll、Recovery.dll等:专门窃取受害者敏感数据;
Chromium.dll:针对Chromium内核浏览器窃取数据;
merged.dll、SystemCheck.Merged.dll:辅助完成数据窃取与系统检测。
·系统探测与通信类:
Informations.dll:收集受害者设备的系统信息;
Webcam.dll:录制受害者设备画面,同时用于验证设备是否为真实感染目标;
TCPConnections.dll/ActiveWindows.dll/StartupManager.dll:分别向命令与控制(C2)服务器发送“活跃TCP连接列表”“当前打开窗口列表”“开机启动程序列表”。
研究人员强调,仅数据窃取类模块就可让攻击者从35种以上应用中窃取登录信息,涵盖网页浏览器、邮件客户端、即时通讯软件、FTP客户端及加密货币钱包。
四、防御建议:多层防护应对模块化攻击
鉴于XWorm插件具备“功能专一、灵活组合”的特点,Trellix建议企业采用多层防御策略,以便在感染后仍能对恶意行为进行拦截:
1. 部署端点检测与响应(EDR)解决方案,识别XWorm各模块的行为特征;
2. 启用邮件与网页前置防护,阻断恶意软件的初始传播载体(如钓鱼邮件、恶意链接);
3. 部署网络监控工具,检测XWorm与C2服务器的通信(如下载插件、外传数据)。
文章翻译自:https://www.bleepingcomputer.com/news/security/xworm-malware-resurfaces-with-ransomware-module-over-35-plugins/如若转载,请注明原文地址
