自XWorm后門原開發(fā)者XCoder去年放棄該項目后，其新版本已通過釣魚攻擊傳播。最新變體XWorm 6.0、6.4及6.5已被多個威脅者采用，且支持插件功能——這些插件可實現(xiàn)各類惡意操作，包括從瀏覽器與應(yīng)用中竊取數(shù)據(jù)、通過遠程桌面與Shell權(quán)限控制主機、對文件進行加解密等。

XCoder開發(fā)的最后一個已知版本為XWorm 5.6，該版本存在遠程代碼執(zhí)行（RCE）漏洞，而近期的新版本已修復(fù)此問題。

一、XWorm核心特性：模塊化架構(gòu)成優(yōu)勢，傳播覆蓋多國家

XWorm是2022年首次被發(fā)現(xiàn)的遠程訪問木馬，憑借模塊化設(shè)計與豐富功能，成為網(wǎng)絡(luò)犯罪分子常用的高效惡意軟件。

其典型惡意用途包括：

·收集敏感數(shù)據(jù)，如密碼、加密貨幣錢包信息、財務(wù)數(shù)據(jù)；

·記錄鍵盤輸入、竊取剪貼板內(nèi)容；

·發(fā)起分布式拒絕服務(wù)（DDoS）攻擊、加載其他惡意軟件。

在XCoder刪除用于發(fā)布更新的Telegram賬號后，多個威脅者開始傳播該惡意軟件的破解版本。

XWorm的流行程度極高，甚至有威脅者將其作為“誘餌”，針對技術(shù)水平較低的網(wǎng)絡(luò)犯罪分子植入另一款數(shù)據(jù)竊取后門——該攻擊事件最終導(dǎo)致18459臺設(shè)備感染，受影響設(shè)備主要分布在俄羅斯、美國、印度、烏克蘭與土耳其。

二、傳播方式：多渠道進化，融合社會工程與技術(shù)手段

1. 地下市場流通與樣本激增

黑客論壇上有一個名為“XCoderTools”的賬號，已開始推廣XWorm新版本，提供終身使用權(quán)限的訂閱價格為500美元。目前尚不確定該賬號是否為原開發(fā)者XCoder，但賬號聲稱新版本已修復(fù)RCE漏洞，并包含多項更新。

網(wǎng)絡(luò)安全公司Trellix的研究人員發(fā)現(xiàn)，自今年6月起，VirusTotal掃描平臺上的XWorm樣本數(shù)量顯著增加，這一現(xiàn)象也表明該惡意軟件在網(wǎng)絡(luò)犯罪分子中的使用率正大幅上升。

2. 攻擊鏈升級：不止于傳統(tǒng)郵件釣魚

在多起攻擊事件中，XWorm的傳播途徑呈現(xiàn)多樣化特征：

·某釣魚攻擊通過惡意JavaScript腳本觸發(fā)PowerShell腳本，繞過反惡意軟件掃描接口（AMSI）防護后部署XWorm；

·有攻擊利用AI主題誘餌、經(jīng)篡改的ScreenConnect遠程訪問工具傳播；

·另有攻擊將shellcode嵌入微軟Excel文件（.XLAM），通過釣魚郵件誘導(dǎo)打開以植入惡意軟件。

XWorm 感染鏈

Trellix在9月的報告中指出：“XWorm的感染鏈已實現(xiàn)進化，除傳統(tǒng)郵件攻擊外，還融入了更多技術(shù)手段?！碑?dāng)前其初始入侵途徑仍包括郵件與.LNK文件，但同時會使用“看似合法的.exe文件名”偽裝成無害應(yīng)用（如仿冒社交軟件Discord）。Trellix表示：“這標志著攻擊者正轉(zhuǎn)向‘社會工程學(xué)+技術(shù)攻擊向量’的結(jié)合模式，以提升攻擊成功率。”

三、插件功能：35+模塊覆蓋竊密到勒索，與NoCry勒索軟件存在代碼關(guān)聯(lián)

據(jù)Trellix研究人員披露，XWorm目前已擁有35個以上插件，功能覆蓋從敏感信息竊取到勒索攻擊的全場景。

1. 勒索模塊（Ransomware.dll）：定制化加密，仿NoCry技術(shù)

XWorm 運營商發(fā)起勒索軟件攻擊

該模塊具備文件加密功能，網(wǎng)絡(luò)犯罪分子可通過它設(shè)置“加密后桌面壁紙”“贖金金額”“錢包地址”及“聯(lián)系郵箱”。

加密過程會避開系統(tǒng)文件與文件夾，專注加密%USERPROFILE%目錄和“文檔”目錄下的數(shù)據(jù)，加密后會刪除原始文件，并為鎖定文件添加.ENC后綴。

受害者桌面會被植入一個HTML文件，內(nèi)含解密指引，包括比特幣（BTC）地址、聯(lián)系郵箱與贖金金額。

XWorm 勒索軟件模塊加密

研究人員發(fā)現(xiàn)，XWorm勒索模塊與2021年首次發(fā)現(xiàn)的.NET架構(gòu)NoCry勒索軟件存在代碼重疊——兩者使用相同算法生成初始化向量（IV）與加解密密鑰，且均采用“AES-CBC模式、4096字節(jié)塊”的加密流程，甚至對分析環(huán)境的驗證邏輯也完全一致。

2. 其他14類核心插件功能

除勒索模塊外，Trellix還分析了XWorm的14類關(guān)鍵插件，功能可分為控制、竊密、系統(tǒng)探測三大類：

·遠程控制類：

RemoteDesktop.dll：創(chuàng)建遠程會話，實現(xiàn)對受害者設(shè)備的交互控制；

Shell.dll：在隱藏的cmd.exe進程中執(zhí)行攻擊者發(fā)送的系統(tǒng)命令；

FileManager.dll：為攻擊者提供文件系統(tǒng)訪問與操作權(quán)限。

·數(shù)據(jù)竊取類：

WindowsUpdate.dll、Stealer.dll、Recovery.dll等：專門竊取受害者敏感數(shù)據(jù)；

Chromium.dll：針對Chromium內(nèi)核瀏覽器竊取數(shù)據(jù)；

merged.dll、SystemCheck.Merged.dll：輔助完成數(shù)據(jù)竊取與系統(tǒng)檢測。

·系統(tǒng)探測與通信類：

Informations.dll：收集受害者設(shè)備的系統(tǒng)信息；

Webcam.dll：錄制受害者設(shè)備畫面，同時用于驗證設(shè)備是否為真實感染目標；

TCPConnections.dll/ActiveWindows.dll/StartupManager.dll：分別向命令與控制（C2）服務(wù)器發(fā)送“活躍TCP連接列表”“當(dāng)前打開窗口列表”“開機啟動程序列表”。

研究人員強調(diào)，僅數(shù)據(jù)竊取類模塊就可讓攻擊者從35種以上應(yīng)用中竊取登錄信息，涵蓋網(wǎng)頁瀏覽器、郵件客戶端、即時通訊軟件、FTP客戶端及加密貨幣錢包。

四、防御建議：多層防護應(yīng)對模塊化攻擊

鑒于XWorm插件具備“功能專一、靈活組合”的特點，Trellix建議企業(yè)采用多層防御策略，以便在感染后仍能對惡意行為進行攔截：

1. 部署端點檢測與響應(yīng)（EDR）解決方案，識別XWorm各模塊的行為特征；

2. 啟用郵件與網(wǎng)頁前置防護，阻斷惡意軟件的初始傳播載體（如釣魚郵件、惡意鏈接）；

3. 部署網(wǎng)絡(luò)監(jiān)控工具，檢測XWorm與C2服務(wù)器的通信（如下載插件、外傳數(shù)據(jù)）。

參考及來源：https://www.bleepingcomputer.com/news/security/xworm-malware-resurfaces-with-ransomware-module-over-35-plugins/