Los investigadores de ciberseguridad han seguido la cambio del malware XWorm, convirtiéndolo en una útil versátil para soportar una amplia matiz de acciones maliciosas en hosts comprometidos.
«El diseño modular de XWorm se fundamento en un cliente central y una serie de componentes especializados conocidos como complementos», dijeron los investigadores de Trellix Niranjan Hegde y Sijo Jacob en un disección publicado la semana pasada. «Estos complementos son esencialmente cargas bártulos adicionales diseñadas para resistir a extremo acciones dañinas específicas una vez que el malware principal está activo».
XWorm, observado por primera vez en 2022 y vinculado a un actor de amenazas llamado EvilCoder, es una cortaplumas suiza de malware que puede allanar el robo de datos, el registro de teclas, la captura de pantalla, la persistencia e incluso las operaciones de ransomware. Se propaga principalmente a través de correos electrónicos de phishing y sitios falsos que anuncian instaladores maliciosos de ScreenConnect.
Algunas de las otras herramientas anunciadas por el desarrollador incluyen un procreador de malware basado en .NET, un troyano de acercamiento remoto llamado XBinder y un software que puede eludir las restricciones del Control de cuentas de becario (UAC) en los sistemas Windows. En los últimos abriles, el incremento de XWorm ha sido liderado por una persona en límite emplazamiento XCoder.
En un crónica publicado el mes pasado, Trellix detalló las cadenas de infección cambiantes de XWorm que han utilizado archivos de acercamiento directo de Windows (LNK) distribuidos a través de correos electrónicos de phishing para ejecutar comandos de PowerShell que arrojan un archivo TXT inofensivo y un ejecutable engañoso que se hace acontecer por Discord, que finalmente alabarda el malware.
XWorm incorpora varios mecanismos anti-análisis y anti-evasión para averiguar signos reveladores de un entorno virtualizado y, de ser así, detener inmediatamente su ejecución. La modularidad del malware significa que se pueden emitir varios comandos desde un servidor extranjero para realizar acciones como apagar o reiniciar el sistema, descargar archivos, rasgar URL e iniciar ataques DDoS.
«Esta rápida cambio de XWorm en el interior del panorama de amenazas y su prevalencia contemporáneo resalta la importancia crítica de medidas de seguridad sólidas para combatir amenazas en constante cambio», señaló la compañía.
Las operaciones de XWorm incluso han sido testigos de algunos reveses durante el año pasado, el más importante fue la atrevimiento de XCoder de eliminar abruptamente su cuenta de Telegram en la segunda parte de 2024, dejando el futuro de la útil en el ribete. Sin incautación, desde entonces, se ha observado que los actores de amenazas distribuyen una interpretación crackeada de XWorm interpretación 5.6 que contenía malware para infectar a otros actores de amenazas que podrían terminar descargándolo.
Esto incluyó intentos realizados por un actor de amenazas desconocido para engañar a los script kiddies para que descargaran una interpretación troyanizada del procreador XWorm RAT a través de repositorios de GitHub, servicios de intercambio de archivos, canales de Telegram y videos de YouTube para comprometer más de 18,459 dispositivos en todo el mundo.
Estos esfuerzos incluso se han conocido complementados por los atacantes que distribuyen versiones modificadas de XWorm, una de las cuales es una reforma china con nombre en código XSPY, así como por el descubrimiento de una vulnerabilidad de ejecución remota de código (RCE) en el malware que permite a los atacantes con la secreto de enigmático de comando y control (C2) ejecutar código injustificado.
Si admisiblemente el evidente desamparo de XWorm por parte de XCoder planteó la posibilidad de que el tesina estuviera «cerrado definitivamente», Trellix dijo que detectó a un actor de amenazas llamado XCoderTools ofreciendo XWorm 6.0 en foros de cibercrimen el 4 de junio de 2025, por $500 para acercamiento de por vida, describiéndolo como una interpretación «completamente recodificada» con una alternativa para la descompostura RCE antaño mencionada. Actualmente no se sabe si la última interpretación es obra del mismo desarrollador o de alguno más que aprovecha la reputación del malware.
Las campañas que distribuyen XWorm 6.0 en la naturaleza han utilizado archivos JavaScript maliciosos en correos electrónicos de phishing que, cuando se abren, muestran un documento PDF señuelo, mientras que, en segundo plano, se ejecuta código PowerShell para inyectar el malware en un proceso genuino de Windows como RegSvcs.exe sin golpear la atención.
XWorm V6.0 está diseñado para conectarse a su servidor C2 en 94.159.113(.)64 en el puerto 4411 y admite un comando llamado «complemento» para ejecutar más de 35 cargas bártulos DLL en la memoria del host infectado y realizar diversas tareas.
«Cuando el servidor C2 envía el comando ‘complemento’, incluye el hash SHA-256 del archivo DLL del complemento y los argumentos para su invocación», explicó Trellix. «Luego, el cliente usa el hash para probar si el complemento se recibió previamente. Si no se encuentra la secreto, el cliente envía un comando ‘sendplugin’ al servidor C2, contiguo con el hash».
«El servidor C2 luego argumenta con el comando ‘savePlugin’ contiguo con una sujeción codificada en base64 que contiene el complemento y el hash SHA-256. Al admitir y decodificar el complemento, el cliente lo carga en la memoria».
Algunos de los complementos compatibles con XWorm 6.x (6.0, 6.4 y 6.5) se enumeran a continuación:
- RemoteDesktop.dllpara crear una sesión remota para interactuar con la máquina de la víctima.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, fusionado.dll, Chromium.dll y SystemCheck.Merged.dllpara robar los datos de la víctima, como claves de producto de Windows, contraseñas de Wi-Fi y credenciales almacenadas de los navegadores web (sin acontecer por el enigmático vinculado a aplicaciones de Chrome) y otras aplicaciones como FileZilla, Discord, Telegram y MetaMask.
- FileManager.dllpara allanar el acercamiento al sistema de archivos y las capacidades de manipulación al cirujano
- Shell.dllpara ejecutar comandos del sistema enviados por el cirujano en un proceso cmd.exe oculto.
- Información.dllpara resumir información del sistema sobre la máquina de la víctima.
- webcam.dllpara registrar a la víctima y probar si una máquina infectada es vivo
- TCPConnections.dll, ActiveWindows.dll y StartupManager.dllpara remitir una serie de conexiones TCP activas, ventanas activas y programas de inicio, respectivamente, al servidor C2
- ransomware.dllpara transcribir y descifrar archivos y dañar a los usuarios para obtener un rescate en criptomonedas (el código compartido se superpone con el ransomware NoCry)
- rootkit.dllpara instalar un rootkit r77 modificado
- ResetSurvival.dllpara sobrevivir al reinicio del dispositivo a través de modificaciones del Registro de Windows
Las infecciones XWorm 6.0, encima de eliminar complementos personalizados, incluso han servido como conducto para otras familias de malware como DarkCloud Stealer, Hworm (RAT basado en VBS), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer (usurero de Rust de código extenso), Phantom Stealer, Phemedrone Stealer y Remcos RAT.
«Una investigación más profunda del archivo DLL reveló múltiples XWorm V6.0 Builders en VirusTotal que están infectados con el malware XWorm, lo que sugiere que un cirujano de XWorm RAT ha sido comprometido por el malware XWorm», dijo Trellix.
«El inesperado regreso de XWorm V6, armado con una matiz versátil de complementos para todo, desde registro de teclas y robo de credenciales hasta ransomware, sirve como un poderoso recordatorio de que ninguna amenaza de malware desaparece verdaderamente».
