4 июня 2025 года на киберпреступных форумах появилось объявление о продаже XWorm 6.0 — полностью переписанной версии известного вредоносного ПО. Актив, продаваемый пользователем XCoderTools за 500 долларов с пожизненным доступом, представляет собой значительную угрозу, поскольку в нем исправлена критическая уязвимость удаленного выполнения кода (RCE), обнаруженная в предыдущих версиях. Пока неизвестно, является ли XCoderTools первоначальным разработчиком XCoder или новым игроком, использующим известный бренд.
Новая версия распространяется через фишинговые кампании с использованием вредоносных JavaScript-файлов. При открытии такого файла жертве демонстрируется ложный PDF-документ, в то время как в фоновом режиме выполняется код PowerShell. Этот код внедряет основное тело вредоноса в легитимный системный процесс Windows, например,
XWorm, впервые замеченный в 2022 году и изначально приписываемый злоумышленнику EvilCoder, представляет собой модульное вредоносное ПО, которое исследователи из компании Trellix Ниранджан Хегде и Сиджо Джейкоб называют «швейцарским армейским ножом» киберпреступника. Его архитектура состоит из центрального клиента и более 35 подключаемых модулей (плагинов), расширяющих его функциональность. Программа оснащена механизмами для обхода анализа, позволяющими обнаруживать виртуальные среды и прекращать работу при обнаружении.
Управление вредоносом осуществляется через командно-контрольный (C2) сервер, расположенный по IP-адресу 94.159.113[.]64 на порту 4411. Система плагинов работает по четкому протоколу: C2-сервер отправляет команду «plugin» с хешем SHA-256 нужного DLL-файла. Если у клиента нет этого плагина, он отвечает командой «sendplugin». В ответ сервер отправляет команду «savePlugin» с закодированным в Base64 файлом плагина, который клиент декодирует и загружает непосредственно в оперативную память.
Функциональность XWorm 6.0 обеспечивается обширной библиотекой плагинов.
Другие плагины значительно расширяют возможности злоумышленников.
Наиболее опасные модули включают
История XWorm полна резких поворотов. Разработку вел пользователь XCoder, также известный созданием RAT-инструмента XBinder и программы для обхода UAC. Во второй половине 2024 года XCoder внезапно удалил свой Telegram-аккаунт, оставив будущее проекта неясным. Вскоре после этого злоумышленники начали распространять взломанную версию XWorm 5.6, которая сама была заражена вредоносным ПО.
В период затишья неизвестный злоумышленник через GitHub, Telegram и YouTube распространял троянизированный конструктор XWorm RAT, что привело к заражению более 18 459 устройств по всему миру. Также появились модифицированные версии, включая китайский вариант под кодовым названием XSPY.
Помимо собственных разрушительных функций, XWorm 6.0 активно используется в качестве загрузчика для доставки других семейств вредоносного ПО. В ходе атак с его использованием были зафиксированы установки DarkCloud Stealer, Hworm (VBS-based RAT), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer, Phantom Stealer, Phemedrone Stealer и Remcos RAT.
Ирония ситуации заключается в том, что несколько конструкторов XWorm 6.0, обнаруженных на VirusTotal, сами оказались заражены этим же вредоносом. Это свидетельствует о том, что даже операторы этого инструмента становятся жертвами, будучи скомпрометированными собственным оружием.
Изображение носит иллюстративный характер
Новая версия распространяется через фишинговые кампании с использованием вредоносных JavaScript-файлов. При открытии такого файла жертве демонстрируется ложный PDF-документ, в то время как в фоновом режиме выполняется код PowerShell. Этот код внедряет основное тело вредоноса в легитимный системный процесс Windows, например,
RegSvcs.exe, для маскировки своей активности. XWorm, впервые замеченный в 2022 году и изначально приписываемый злоумышленнику EvilCoder, представляет собой модульное вредоносное ПО, которое исследователи из компании Trellix Ниранджан Хегде и Сиджо Джейкоб называют «швейцарским армейским ножом» киберпреступника. Его архитектура состоит из центрального клиента и более 35 подключаемых модулей (плагинов), расширяющих его функциональность. Программа оснащена механизмами для обхода анализа, позволяющими обнаруживать виртуальные среды и прекращать работу при обнаружении.
Управление вредоносом осуществляется через командно-контрольный (C2) сервер, расположенный по IP-адресу 94.159.113[.]64 на порту 4411. Система плагинов работает по четкому протоколу: C2-сервер отправляет команду «plugin» с хешем SHA-256 нужного DLL-файла. Если у клиента нет этого плагина, он отвечает командой «sendplugin». В ответ сервер отправляет команду «savePlugin» с закодированным в Base64 файлом плагина, который клиент декодирует и загружает непосредственно в оперативную память.
Функциональность XWorm 6.0 обеспечивается обширной библиотекой плагинов.
RemoteDesktop.dll предоставляет удаленный доступ к рабочему столу. Модули WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll и SystemCheck.Merged.dll отвечают за кражу данных: ключей продуктов Windows, паролей Wi-Fi, а также учетных данных из браузеров, обходя шифрование Chrome с привязкой к приложению, и из приложений, таких как FileZilla, Discord, Telegram и М⃰Mask. Другие плагины значительно расширяют возможности злоумышленников.
FileManager.dll позволяет управлять файловой системой, а Shell.dll выполняет системные команды через скрытый процесс cmd.exe. Для сбора информации используются Informations.dll (сведения о системе), Webcam.dll (запись с веб-камеры), TCPConnections.dll (список активных TCP-соединений) и ActiveWindows.dll (список активных окон). Наиболее опасные модули включают
Ransomware.dll, который шифрует файлы и имеет общий код с программой-вымогателем NoCry; Rootkit.dll, устанавливающий модифицированную версию руткита r77 для глубокого сокрытия в системе; и ResetSurvival.dll, обеспечивающий персистентность вредоноса даже после сброса устройства к заводским настройкам путем внесения изменений в реестр Windows. История XWorm полна резких поворотов. Разработку вел пользователь XCoder, также известный созданием RAT-инструмента XBinder и программы для обхода UAC. Во второй половине 2024 года XCoder внезапно удалил свой Telegram-аккаунт, оставив будущее проекта неясным. Вскоре после этого злоумышленники начали распространять взломанную версию XWorm 5.6, которая сама была заражена вредоносным ПО.
В период затишья неизвестный злоумышленник через GitHub, Telegram и YouTube распространял троянизированный конструктор XWorm RAT, что привело к заражению более 18 459 устройств по всему миру. Также появились модифицированные версии, включая китайский вариант под кодовым названием XSPY.
Помимо собственных разрушительных функций, XWorm 6.0 активно используется в качестве загрузчика для доставки других семейств вредоносного ПО. В ходе атак с его использованием были зафиксированы установки DarkCloud Stealer, Hworm (VBS-based RAT), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer, Phantom Stealer, Phemedrone Stealer и Remcos RAT.
Ирония ситуации заключается в том, что несколько конструкторов XWorm 6.0, обнаруженных на VirusTotal, сами оказались заражены этим же вредоносом. Это свидетельствует о том, что даже операторы этого инструмента становятся жертвами, будучи скомпрометированными собственным оружием.
