Los investigadores de ciberseguridad están convirtiendo ilustrativamente la evolución del malware Xworm en una herramienta versátil para admitir una amplia gama de acciones maliciosas en hosts comprometidos.
«El diseño modular de Xworm se basa en un conjunto de componentes especializados conocidos como clientes y complementos centrales», dijeron los investigadores de Trellix Niranjan Hegde y Sijo Jacob en un análisis publicado la semana pasada. «Estos complementos son cargas útiles adicionales diseñadas para realizar ciertas acciones dañinas una vez que se activa el malware central».
Xworm se observó por primera vez en 2022 y se vinculó a un actor de amenaza llamado EvilCoder, y es una navaja de malware del ejército suizo que puede promover el robo de datos, el keylogging, la captura de pantalla, la persistencia e incluso las operaciones de ransomware. Esto promueve los instaladores de pantalla de pantalla maliciosa principalmente a través de correos electrónicos de phishing y sitios falsos.
Otras herramientas que anuncian los desarrolladores incluyen constructores de malware basados en .NET, troyanos de acceso remoto llamados XBinder y programas que pueden evitar las restricciones de control de la cuenta de usuario (UAC) en los sistemas Windows. En los últimos años, Xworm ha sido dirigido por una persona en línea llamada Xcoder.
En un informe publicado el mes pasado, Trellix explica en detalle la cadena de infección de Xworm que ejecutó un comando PowerShell utilizando archivos de Windows Shortcuts (LNK) distribuidos a través de correos electrónicos de phishing para embellecer incorrectamente la inconsistencia de los archivos TXT inofensivos.
Xworm incorpora varios mecanismos anti-análisis y prevención para ver signos sutiles de un entorno virtualizado y, de ser así, detenga su ejecución de inmediato. La modularidad del malware significa que se pueden emitir varios comandos de servidores externos para realizar acciones como apagar o reiniciar el sistema, descargar archivos, abrir URL, iniciar un ataque DDoS y más.
«Esta rápida evolución de Xworm dentro de una situación de amenaza y su prevalencia actual destaca la importancia crítica de las sólidas medidas de seguridad para combatir las amenazas en constante cambio», dijo la compañía.
Las operaciones de Xworm han sido testigos de la proporción de compensaciones durante el año pasado. Lo más importante, la decisión de Xcoder de eliminar repentinamente las cuentas de telegrama en la segunda mitad de 2024, dejando el futuro de la herramienta en el limbo. Sin embargo, desde entonces, se ha observado que los actores de amenaza distribuirán una versión agrietada de Xworm versión 5.6, que contiene malware que infecta a otros actores de amenazas que pueden descargarlo.
Esto incluyó intentos en los que los actores de amenaza desconocidos engañaron a los niños del script para que descargaran la versión troyanizada de Xworm Rat Builder a través del repositorio de GitHub, servicios para compartir archivos, canales de telegrama y videos de YouTube para comprometer más de 18,459 dispositivos en todo el mundo.
Esto se complementa con atacantes que distribuyen versiones modificadas de Xworm. Uno de ellos es el nombre de código de variante china XSPY. También está descubriendo una vulnerabilidad de ejecución de código remoto de malware (RCE) que permite a los atacantes usar claves de cifrado para que los atacantes ejecuten código arbitrario.
Si bien el aparente abandono de Xcoder de Xworm aumentó la posibilidad de que el proyecto se «cerrara permanentemente», Trellix descubrió un actor de amenaza llamado XcoderTools que ofrece Xworm 6.0 en el Foro del delito cibernético el 4 de junio de 2025, explicando la versión «totalmente recogida», por $ 500 para el acceso de por vida. No está claro si la última versión es actualmente el trabajo de otra persona que está aprovechando la reputación del mismo desarrollador o malware.
La campaña para distribuir Xworm 6.0 en Wild usa archivos JavaScript maliciosos en correos electrónicos de phishing. Esto se hace para mostrar el documento PDF señuelo cuando se abre, el código PowerShell se ejecuta en segundo plano e inyectar malware en procesos legítimos de Windows como regsvcs.exe sin llamar la atención.
Xworm V6.0 está diseñado para conectarse a un servidor C2 en 94.159.113 (.) 64 en el puerto 4411, y admite un comando llamado «complemento» para ejecutar 35 cargas de DLL en memoria en hosts infectados y realizar varias tareas.
«Cuando el servidor C2 envía el comando ‘complemento’, contiene el hash SHA-256 del archivo DLL del complemento y los argumentos para esa llamada», explicó Trellix. «El cliente luego usa un hash para verificar si el complemento se recibió previamente. Si no se encuentra ninguna clave, el cliente envía un comando» sendplugin «junto con el hash al servidor C2».
«El servidor C2 luego responde con el comando savePlugin ‘, junto con una cadena codificada de base64 que contiene el complemento y el hash SHA-256. Una vez que se recibe y decodifica el complemento, el cliente carga el complemento en la memoria».
A continuación se muestra una lista de algunos de los complementos compatibles para Xworm 6.x (6.0, 6.4 y 6.5) –
Remotedesktop.dll crea una sesión remota que interactúa con la máquina de la víctima. Windowsupdate.dll, stealer.dll, recope.dll, merged.dll, chrom.dll y systemcheck.merged.dll, clave de producto de Windows, contraseña de Wi-Fi, contraseña de Wi-Fi, navegador web (roba datos de víctimas que almacena los navegadores de los navegadores web como los appinises de Chrome, como el sistema de archivos de Chrome. Capacidades de acceso y manipulación, y ejecuta comandos del sistema enviados por el operador en el proceso CMD.exe oculto. Informaciones.dll, recopila información del sistema sobre la máquina de la víctima. Registre a la víctima y verifique si la máquina infectada es el tcpconnections.dll real, activowindows.dll y startupmanager.dll. Nocry ransomware) rootkit.dll, para instalar el R77 rootkit modificado reseturvival.dll, para resistir el restablecimiento del dispositivo a través de cambios en el registro de Windows
Además de eliminar herramientas personalizadas, la infección por Xworm 6.0 también sirve como conducto para otras familias de malware como Darkcloud Stealer, Hworm (rata con sede en VBS), Keylogger de serpiente, Miner de Coin, malware puro, SHADOWSNIFF STEALER (Servicio abierto de acero), Phantom Stealer, Phantrone Stealer, Remcoseer y otras familias de malware.
«Una investigación adicional de los archivos DLL revela múltiples constructores de Xworm V6.0 en virustotal que están infectados con malware Xworm, lo que sugiere que los operadores de ratas Xworm están siendo dañados por el malware Xworm», dijo Trellix.
«Un retorno inesperado de Xworm V6, armado con complementos versátiles para todo, desde keylogs y robo de credenciales hasta ransomware, sirve como un poderoso recordatorio de que la amenaza de malware no se ha ido realmente».
Source link
