وقتی XWorm دوباره بیدار شد — تحلیل ترلیکس از بدافزاری بازنویسی‌شده

پژوهشگران امنیت سایبری تحول بدافزار XWorm را بررسی کرده‌اند؛ بدافزاری که اکنون به ابزاری چندمنظوره برای انجام طیف گسترده‌ای از فعالیت‌های مخرب در سیستم‌های آلوده تبدیل شده است.

به گفته پژوهشگران شرکت ترلیکس (Trellix)، طراحی ماژولار XWorm بر پایه یک هسته اصلی و مجموعه‌ای از اجزای تخصصی به نام پلاگین‌‌ها ساخته شده است. این پلاگین‌ها در واقع بارهای مخربی هستند که پس از فعال شدن بدافزار اصلی، وظایف خاصی را اجرا می‌کنند.

سابقه و نحوه انتشار XWorm

نخستین‌بار در سال 2022 این بدافزار توسط عامل تهدیدی با نام EvilCoder شناسایی شد. XWorm به‌مثابه چاقوی سوئیسی بدافزارها عمل می‌کند و توانایی‌هایی چون سرقت داده‌ها، ثبت کلیدهای فشرده‌شده، ضبط صفحه، ماندگاری در سیستم و حتی اجرای باج‌افزار را دارد.

روش اصلی انتشار آن از طریق ایمیل‌های فیشینگ و سایت‌های جعلی است که نرم‌افزارهای آلوده مانند ScreenConnect را تبلیغ می‌کنند.

ابزارهای مرتبط و نسخه‌های قبلی

توسعه‌دهنده XWorm ابزارهایی نظیر XBinder (تروجان دسترسی از راه دور)، یک سازنده بدافزار مبتنی بر DotNet و برنامه‌ای برای دور زدن کنترل حساب کاربری Windows یا همان UAC را نیز عرضه کرده است.

در سال‌های اخیر، توسعه XWorm توسط شخصیتی با نام آنلاین XCoder هدایت می‌شد. با این حال، پس از حذف حساب Telegram وی در نیمه دوم سال ۲۰۲۴، نسخه‌های کرک‌شده‌ای از XWorm 5.6 در فضای مجازی پخش شدند که حتی خود مهاجمان را نیز آلوده می‌کردند.

بازگشت نسخه 6.0 و کشف ترلیکس

در ۴ ژوئن ۲۰۲۵، محققان ترلیکس در انجمن‌های جرایم سایبری، نسخه جدید XWorm 6.0 را مشاهده کردند که توسط فردی با نام XCoderTools با قیمت ۵۰۰ دلار برای دسترسی مادام‌العمر عرضه شده بود. این نسخه “کاملاً بازنویسی‌شده” معرفی شد و حاوی وصله‌ای برای آسیب‌پذیری اجرای کد از راه دور (RCE) بود.

ترلیکس اعلام کرد که XWorm 6.0 با استفاده از فایل‌های JavaScript مخرب در ایمیل‌های فیشینگ منتشر می‌شود. این فایل‌ها هنگام باز شدن، یک فایل PDF فریبنده نمایش می‌دهند و در پس‌زمینه با اجرای PowerShell، بدافزار را در پروسه‌های معتبر Windows مانند RegSvcs.exe تزریق می‌کنند تا از دید آنتی‌ویروس‌ها پنهان بماند.

ساختار پیشرفته و پلاگین‌های متعدد

نسخه جدید XWorm قادر است با سرور فرماندهی خود از طریق پورت 4411 ارتباط برقرار کند و با دستور plugin بیش از ۳۵ پلاگین DLL را روی حافظه سیستم آلوده بارگذاری نماید.

پلاگین‌های شناسایی‌شده توسط ترلیکس شامل موارد زیر هستند:

  • dll برای کنترل از راه دور سیستم قربانی
  • dll و Chromium.dll برای سرقت رمزهای عبور مرورگرها، کلیدهای Windows و رمز WiFi
  • dll برای ضبط ویدیو از قربانی
  • dll برای رمزگذاری و باج‌گیری
  • dll برای نصب روت‌کیت و ماندگاری در سیستم

XWorm، همچنین از روش‌های ضدتحلیل و ضدشبیه‌سازی بهره می‌برد تا اگر در محیط مجازی اجرا شود، فوراً متوقف گردد.

مهاجمان قربانی بدافزار خود شدند!

پژوهشگران ترلیکس در بررسی فایل‌های DLL مربوط به نسخه ۶ متوجه شدند چندین XWorm Builder موجود در سایت VirusTotal خودشان با بدافزار XWorm آلوده‌اند؛ به عبارتی، اپراتورهای XWorm توسط نسخه آلوده خود قربانی شده‌اند.

جمع‌بندی

ترلیکس، در پایان تأکید کرده بازگشت XWorm 6.0 با مجموعه‌ای از قابلیت‌های گسترده، یادآور این حقیقت است که “هیچ تهدید بدافزاری هرگز به‌طور کامل از بین نمی‌رود”. به گفته این شرکت، تنها با راهکارهای امنیتی چندلایه، نظارت مداوم، و فناوری‌های پیشرفته می‌توان با تهدیدات پیشرفته‌ای مانند XWorm مقابله کرد.

مشروح گزارش ترلیکس در لینک زیر قابل‌مطالعه است:

https://www.trellix.com/blogs/research/xworm-v6-exploring-pivotal-plugins

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *