XWorm惡意軟件攜勒索模塊重現 插件數量超35個

自XWorm后門原開發者XCoder去年放棄該項目后，其新版本已通過釣魚攻擊傳播。最新變體XWorm 6.0、6.4及6.5已被多個威脅者采用，且支持插件功能——這些插件可實現各類惡意操作，包括從瀏覽器與應用中竊取數據、通過遠程桌面與Shell權限控制主機、對文件進行加解密等。

XCoder開發的最后一個已知版本為XWorm 5.6，該版本存在遠程代碼執行（RCE）漏洞，而近期的新版本已修復此問題。

一、XWorm核心特性：模塊化架構成優勢，傳播覆蓋多國家

XWorm是2022年首次被發現的遠程訪問木馬，憑借模塊化設計與豐富功能，成為網絡犯罪分子常用的高效惡意軟件。

其典型惡意用途包括：

·收集敏感數據，如密碼、加密貨幣錢包信息、財務數據；

·記錄鍵盤輸入、竊取剪貼板內容；

·發起分布式拒絕服務（DDoS）攻擊、加載其他惡意軟件。

在XCoder刪除用于發布更新的Telegram賬號后，多個威脅者開始傳播該惡意軟件的破解版本。

XWorm的流行程度極高，甚至有威脅者將其作為“誘餌”，針對技術水平較低的網絡犯罪分子植入另一款數據竊取后門——該攻擊事件最終導致18459臺設備感染，受影響設備主要分布在俄羅斯、美國、印度、烏克蘭與土耳其。

二、傳播方式：多渠道進化，融合社會工程與技術手段

1. 地下市場流通與樣本激增

黑客論壇上有一個名為“XCoderTools”的賬號，已開始推廣XWorm新版本，提供終身使用權限的訂閱價格為500美元。目前尚不確定該賬號是否為原開發者XCoder，但賬號聲稱新版本已修復RCE漏洞，并包含多項更新。

網絡安全公司Trellix的研究人員發現，自今年6月起，VirusTotal掃描平臺上的XWorm樣本數量顯著增加，這一現象也表明該惡意軟件在網絡犯罪分子中的使用率正大幅上升。

2. 攻擊鏈升級：不止于傳統郵件釣魚

在多起攻擊事件中，XWorm的傳播途徑呈現多樣化特征：

·某釣魚攻擊通過惡意JavaScript腳本觸發PowerShell腳本，繞過反惡意軟件掃描接口（AMSI）防護后部署XWorm；

·有攻擊利用AI主題誘餌、經篡改的ScreenConnect遠程訪問工具傳播；

·另有攻擊將shellcode嵌入微軟Excel文件（.XLAM），通過釣魚郵件誘導打開以植入惡意軟件。

XWorm 感染鏈

Trellix在9月的報告中指出：“XWorm的感染鏈已實現進化，除傳統郵件攻擊外，還融入了更多技術手段。”當前其初始入侵途徑仍包括郵件與.LNK文件，但同時會使用“看似合法的.exe文件名”偽裝成無害應用（如仿冒社交軟件Discord）。Trellix表示：“這標志著攻擊者正轉向‘社會工程學+技術攻擊向量’的結合模式，以提升攻擊成功率。”

三、插件功能：35+模塊覆蓋竊密到勒索，與NoCry勒索軟件存在代碼關聯

據Trellix研究人員披露，XWorm目前已擁有35個以上插件，功能覆蓋從敏感信息竊取到勒索攻擊的全場景。

1. 勒索模塊（Ransomware.dll）：定制化加密，仿NoCry技術

XWorm 運營商發起勒索軟件攻擊

該模塊具備文件加密功能，網絡犯罪分子可通過它設置“加密后桌面壁紙”“贖金金額”“錢包地址”及“聯系郵箱”。

加密過程會避開系統文件與文件夾，專注加密%USERPROFILE%目錄和“文檔”目錄下的數據，加密后會刪除原始文件，并為鎖定文件添加.ENC后綴。

受害者桌面會被植入一個HTML文件，內含解密指引，包括比特幣（BTC）地址、聯系郵箱與贖金金額。

XWorm 勒索軟件模塊加密

研究人員發現，XWorm勒索模塊與2021年首次發現的.NET架構NoCry勒索軟件存在代碼重疊——兩者使用相同算法生成初始化向量（IV）與加解密密鑰，且均采用“AES-CBC模式、4096字節塊”的加密流程，甚至對分析環境的驗證邏輯也完全一致。

2. 其他14類核心插件功能

除勒索模塊外，Trellix還分析了XWorm的14類關鍵插件，功能可分為控制、竊密、系統探測三大類：

·遠程控制類：

RemoteDesktop.dll：創建遠程會話，實現對受害者設備的交互控制；

Shell.dll：在隱藏的cmd.exe進程中執行攻擊者發送的系統命令；

FileManager.dll：為攻擊者提供文件系統訪問與操作權限。

·數據竊取類：

WindowsUpdate.dll、Stealer.dll、Recovery.dll等：專門竊取受害者敏感數據；

Chromium.dll：針對Chromium內核瀏覽器竊取數據；

merged.dll、SystemCheck.Merged.dll：輔助完成數據竊取與系統檢測。

·系統探測與通信類：

Informations.dll：收集受害者設備的系統信息；

Webcam.dll：錄制受害者設備畫面，同時用于驗證設備是否為真實感染目標；

TCPConnections.dll/ActiveWindows.dll/StartupManager.dll：分別向命令與控制（C2）服務器發送“活躍TCP連接列表”“當前打開窗口列表”“開機啟動程序列表”。

研究人員強調，僅數據竊取類模塊就可讓攻擊者從35種以上應用中竊取登錄信息，涵蓋網頁瀏覽器、郵件客戶端、即時通訊軟件、FTP客戶端及加密貨幣錢包。

四、防御建議：多層防護應對模塊化攻擊

鑒于XWorm插件具備“功能專一、靈活組合”的特點，Trellix建議企業采用多層防御策略，以便在感染后仍能對惡意行為進行攔截：

1. 部署端點檢測與響應（EDR）解決方案，識別XWorm各模塊的行為特征；

2. 啟用郵件與網頁前置防護，阻斷惡意軟件的初始傳播載體（如釣魚郵件、惡意鏈接）；

3. 部署網絡監控工具，檢測XWorm與C2服務器的通信（如下載插件、外傳數據）。

參考及來源：https://www.bleepingcomputer.com/news/security/xworm-malware-resurfaces-with-ransomware-module-over-35-plugins/