Los investigadores de ciberseguridad han trazado la evolución del malware Xworm, convirtiéndolo en una herramienta versátil para apoyar una amplia gama de acciones maliciosas en hosts comprometidos.
«El diseño modular de Xworm se basa en un cliente central y una variedad de componentes especializados conocidos como complementos», los investigadores de Trellix Niranjan Hegde y Sijo Jacob dicho En un análisis publicado la semana pasada. «Estos complementos son esencialmente cargas útiles adicionales diseñadas para llevar a cabo acciones dañinas específicas una vez que el malware central está activo».
Xworm, Primero observado En 2022 y vinculado a un actor de amenaza llamado EvilCoder, es una navaja de malware del ejército suizo que puede facilitar el robo de datos, el keylogging, la captura de pantalla, la persistencia e incluso las operaciones de ransomware. Se propaga principalmente a través de correos electrónicos de phishing y Sitios falsos Publicidad Instaladores de captura de pantalla maliciosa.
Algunas de las otras herramientas anunciadas por el desarrollador incluyen un constructor de malware basado en .NET, un troyano de acceso remoto llamado XBinder y un programa que puede evitar las restricciones de control de la cuenta de usuario (UAC) en los sistemas Windows. En los últimos años, el desarrollo de Xworm ha sido dirigido por una persona en línea llamada XCoder.
En un informe publicado el mes pasado, Trellix detallado Cambiando las cadenas de infección de Xworm que han utilizado archivos de acceso directo de Windows (LNK) distribuidos a través de correos electrónicos de phishing para ejecutar comandos de PowerShell que eliminan un archivo TXT inofensivo y un ejecutable engañoso disfrazado de discordia, que luego lanza el malwork.
Xworm incorpora varios mecanismos anti-análisis y anti-evasión para verificar los signos reveladores de un entorno virtualizado, y de ser así, cese inmediatamente su ejecución. La modularidad del malware significa que se pueden emitir varios comandos desde un servidor externo para realizar acciones como apagar o reiniciar el sistema, descargar archivos, abrir URL e iniciar ataques DDoS.
«Esta rápida evolución de Xworm dentro del panorama de amenazas, y su prevalencia actual, destaca la importancia crítica de las sólidas medidas de seguridad para combatir las amenazas en constante cambio», señaló la compañía.
Las operaciones de Xworm también han sido testigos de su parte de contratiempos durante el año pasado, la más importante es la decisión de Xcoder de eliminar su cuenta de telegrama abruptamente en la segunda mitad de 2024, dejando el futuro de la herramienta en el limbo. Desde entonces, sin embargo, se ha observado que los actores de amenaza distribuyen una versión agrietada de Xworm versión 5.6 que contenía malware para infectar a otros actores de amenaza que pueden terminar descargándolo.
Esto incluido intentos Hecho por un actor de amenaza desconocida para engañar a los niños de script para que descargue una versión troyanizada del Xworm Rat Builder a través de repositorios de Github, servicios de intercambio de archivos, canales de telegrama y videos de YouTube para comprometer más de 18,459 dispositivos a nivel mundial.
Estos esfuerzos también han sido complementados por atacantes Distribución de versiones modificadas de xworm, uno de los cuales es una variante china con nombre en código XSPY, así como el descubrimiento de una vulnerabilidad de ejecución de código remoto (RCE) en el malware que permite a los atacantes con la clave de cifrado de comando y control (C2) para ejecutar el código arbitrario.
Mientras que el aparente abandono de Xworm por Xcoder planteó la posibilidad de que el proyecto «cerrado para bien», Trellix dijo que vio a un actor de amenaza llamado XCoderTools que ofrecía Xworm 6.0 en los foros del delito cibernético en los foros del 4 de junio de 2025, por $ 500 para el acceso de la vida, describiéndola como una versión «totalmente codificada» con una fijación para la fijación de RCE ARMENCIONE. Actualmente no se sabe si la última versión es el trabajo del mismo desarrollador o alguien más que capitaliza la reputación del malware.
Las campañas que distribuyen Xworm 6.0 en la naturaleza han utilizado archivos de JavaScript maliciosos en correos electrónicos de phishing que, cuando se abren, muestran un documento PDF señuelo, mientras que, en segundo plano, el código de PowerShell se ejecuta para inyectar el malware en un proceso legítimo de Windows como Regsvcs.exe sin ninguna atención.
Xworm V6.0 está diseñado para conectarse a su servidor C2 al 94.159.113[.]64 en el puerto 4411 y admite un comando llamado «complemento» para ejecutar más de 35 cargas de DLL en la memoria del host infectado y llevar a cabo varias tareas.
«Cuando el servidor C2 envía el comando 'complemento', incluye el hash SHA-256 del archivo DLL del complemento y los argumentos para su invocación», explicó Trellix. «El cliente luego usa el hash para verificar si el complemento se ha recibido previamente. Si no se encuentra la clave, el cliente envía un comando 'sendplugin' al servidor C2, junto con el hash».
«El servidor C2 luego responde con el Comando de APLUGIN 'junto con una cadena codificada Base64 que contiene el complemento y el hash SHA-256. Al recibir y decodificar el complemento, el cliente carga el complemento en la memoria».
Algunos de los complementos compatibles en Xworm 6.x (6.0, 6.4 y 6.5) se enumeran a continuación –
- Remotedesktop.dllpara crear una sesión remota para interactuar con la máquina de la víctima.
- Windowsupdate.dll, stealer.dll, recovery.dll, fused.dll, chromium.dll y systemcheck.merged.dllpara robar los datos de la víctima, como las claves de productos de Windows, las contraseñas de Wi-Fi y las credenciales almacenadas de los navegadores web (evitando Chrome's encriptación vinculada) y otras aplicaciones como Filezilla, Discord, Telegram y Metamask
- Filemanager.dllpara facilitar el acceso al sistema de archivos y las capacidades de manipulación al operador
- Shell.dllpara ejecutar comandos del sistema enviados por el operador en un proceso CMD.EXE oculto.
- Informaciones.dllpara recopilar información del sistema sobre la máquina de la víctima.
- Webcam.dllregistrar a la víctima y verificar si una máquina infectada es real
- Tcpconnections.dll, activowindows.dll y startupmanager.dllpara enviar una lista de conexiones TCP activas, ventanas activas y programas de inicio, respectivamente, al servidor C2
- Ransomware.dllpara cifrar y descifrar archivos y extorsionar a los usuarios para un rescate de criptomoneda (comparte el código se superpone con el ransomware nocry)
- Rootkit.dllpara instalar un r77 rootkit modificado
- Reetsurvival.dllpara sobrevivir el restablecimiento del dispositivo a través de modificaciones del registro de Windows
Las infecciones de Xworm 6.0, además de dejar complementos personalizados, también han servido como un conducto para otras familias de malware como Darkcloud Stealer, Hworm (rata con sede en VBS), Keylogger de serpiente, Miner de Coin, malware puro, Stealer de SHADOWSNIFF (Staaler de óxido de código abierto), Phantom Stealer, Phemedron Rat y Remcos Rat.
«Una mayor investigación del archivo DLL reveló múltiples constructores Xworm V6.0 en Virustotal que están infectados con malware Xworm, lo que sugiere que un operador de ratas Xworm ha sido comprometido por el malware Xworm!», Dijo Trellix.
«El retorno inesperado de Xworm V6, armado con una variedad versátil de complementos para todo, desde el keylogging y el robo de credenciales hasta el ransomware, sirve como un poderoso recordatorio de que ninguna amenaza de malware realmente ha desaparecido».
Fuente