XWorm恶意软件携勒索模块重现 插件数量超35个

自XWorm后门原开发者XCoder去年放弃该项目后，其新版本已通过钓鱼攻击传播。最新变体XWorm 6.0、6.4及6.5已被多个威胁者采用，且支持插件功能——这些插件可实现各类恶意操作，包括从浏览器与应用中窃取数据、通过远程桌面与Shell权限控制主机、对文件进行加解密等。

XCoder开发的最后一个已知版本为XWorm 5.6，该版本存在远程代码执行（RCE）漏洞，而近期的新版本已修复此问题。

一、XWorm核心特性：模块化架构成优势，传播覆盖多国家

XWorm是2022年首次被发现的远程访问木马，凭借模块化设计与丰富功能，成为网络犯罪分子常用的高效恶意软件。

其典型恶意用途包括：

·收集敏感数据，如密码、加密货币钱包信息、财务数据；

·记录键盘输入、窃取剪贴板内容；

·发起分布式拒绝服务（DDoS）攻击、加载其他恶意软件。

在XCoder删除用于发布更新的Telegram账号后，多个威胁者开始传播该恶意软件的破解版本。

XWorm的流行程度极高，甚至有威胁者将其作为“诱饵”，针对技术水平较低的网络犯罪分子植入另一款数据窃取后门——该攻击事件最终导致18459台设备感染，受影响设备主要分布在俄罗斯、美国、印度、乌克兰与土耳其。

二、传播方式：多渠道进化，融合社会工程与技术手段

1. 地下市场流通与样本激增

黑客论坛上有一个名为“XCoderTools”的账号，已开始推广XWorm新版本，提供终身使用权限的订阅价格为500美元。目前尚不确定该账号是否为原开发者XCoder，但账号声称新版本已修复RCE漏洞，并包含多项更新。

网络安全公司Trellix的研究人员发现，自今年6月起，VirusTotal扫描平台上的XWorm样本数量显著增加，这一现象也表明该恶意软件在网络犯罪分子中的使用率正大幅上升。

2. 攻击链升级：不止于传统邮件钓鱼

在多起攻击事件中，XWorm的传播途径呈现多样化特征：

·某钓鱼攻击通过恶意JavaScript脚本触发PowerShell脚本，绕过反恶意软件扫描接口（AMSI）防护后部署XWorm；

·有攻击利用AI主题诱饵、经篡改的ScreenConnect远程访问工具传播；

·另有攻击将shellcode嵌入微软Excel文件（.XLAM），通过钓鱼邮件诱导打开以植入恶意软件。

XWorm 感染链

Trellix在9月的报告中指出：“XWorm的感染链已实现进化，除传统邮件攻击外，还融入了更多技术手段。”当前其初始入侵途径仍包括邮件与.LNK文件，但同时会使用“看似合法的.exe文件名”伪装成无害应用（如仿冒社交软件Discord）。Trellix表示：“这标志着攻击者正转向‘社会工程学+技术攻击向量’的结合模式，以提升攻击成功率。”

三、插件功能：35+模块覆盖窃密到勒索，与NoCry勒索软件存在代码关联

据Trellix研究人员披露，XWorm目前已拥有35个以上插件，功能覆盖从敏感信息窃取到勒索攻击的全场景。

1. 勒索模块（Ransomware.dll）：定制化加密，仿NoCry技术

XWorm 运营商发起勒索软件攻击

该模块具备文件加密功能，网络犯罪分子可通过它设置“加密后桌面壁纸”“赎金金额”“钱包地址”及“联系邮箱”。

加密过程会避开系统文件与文件夹，专注加密%USERPROFILE%目录和“文档”目录下的数据，加密后会删除原始文件，并为锁定文件添加.ENC后缀。

受害者桌面会被植入一个HTML文件，内含解密指引，包括比特币（BTC）地址、联系邮箱与赎金金额。

XWorm 勒索软件模块加密

研究人员发现，XWorm勒索模块与2021年首次发现的.NET架构NoCry勒索软件存在代码重叠——两者使用相同算法生成初始化向量（IV）与加解密密钥，且均采用“AES-CBC模式、4096字节块”的加密流程，甚至对分析环境的验证逻辑也完全一致。

2. 其他14类核心插件功能

除勒索模块外，Trellix还分析了XWorm的14类关键插件，功能可分为控制、窃密、系统探测三大类：

·远程控制类：

RemoteDesktop.dll：创建远程会话，实现对受害者设备的交互控制；

Shell.dll：在隐藏的cmd.exe进程中执行攻击者发送的系统命令；

FileManager.dll：为攻击者提供文件系统访问与操作权限。

·数据窃取类：

WindowsUpdate.dll、Stealer.dll、Recovery.dll等：专门窃取受害者敏感数据；

Chromium.dll：针对Chromium内核浏览器窃取数据；

merged.dll、SystemCheck.Merged.dll：辅助完成数据窃取与系统检测。

·系统探测与通信类：

Informations.dll：收集受害者设备的系统信息；

Webcam.dll：录制受害者设备画面，同时用于验证设备是否为真实感染目标；

TCPConnections.dll/ActiveWindows.dll/StartupManager.dll：分别向命令与控制（C2）服务器发送“活跃TCP连接列表”“当前打开窗口列表”“开机启动程序列表”。

研究人员强调，仅数据窃取类模块就可让攻击者从35种以上应用中窃取登录信息，涵盖网页浏览器、邮件客户端、即时通讯软件、FTP客户端及加密货币钱包。

四、防御建议：多层防护应对模块化攻击

鉴于XWorm插件具备“功能专一、灵活组合”的特点，Trellix建议企业采用多层防御策略，以便在感染后仍能对恶意行为进行拦截：

1. 部署端点检测与响应（EDR）解决方案，识别XWorm各模块的行为特征；

2. 启用邮件与网页前置防护，阻断恶意软件的初始传播载体（如钓鱼邮件、恶意链接）；

3. 部署网络监控工具，检测XWorm与C2服务器的通信（如下载插件、外传数据）。

参考及来源：https://www.bleepingcomputer.com/news/security/xworm-malware-resurfaces-with-ransomware-module-over-35-plugins/