Các nhà nghiên cứu an ninh mạng đã theo dõi sự phát triển của mã độc XWorm, biến nó thành một công cụ đa năng hỗ trợ nhiều hành động độc hại trên các máy chủ bị xâm nhập.
"Thiết kế mô-đun của XWorm được xây dựng xoay quanh một máy khách cốt lõi và một loạt các thành phần chuyên biệt được gọi là plugins," các nhà nghiên cứu Niranjan Hegde và Sijo Jacob của Trellix cho biết trong một phân tích được công bố vào tuần trước. "Các plugins này về cơ bản là các payloads bổ sung được thiết kế để thực hiện các hành động độc hại cụ thể khi mã độc cốt lõi đã hoạt động."
XWorm, lần đầu tiên được phát hiện vào năm 2022 và được liên kết với một threat actor tên là EvilCoder, là một công cụ mã độc đa năng có thể thực hiện đánh cắp dữ liệu, keylogging, chụp màn hình, duy trì quyền truy cập (persistence) và thậm chí là các hoạt động ransomware. Nó chủ yếu được phát tán thông qua email phishing và các trang web giả mạo quảng cáo các trình cài đặt ScreenConnect độc hại.
Một số công cụ khác được nhà phát triển quảng cáo bao gồm một malware builder dựa trên .NET, một remote access trojan có tên XBinder, và một chương trình có thể bỏ qua các hạn chế của User Account Control (UAC) trên hệ thống Windows. Trong những năm gần đây, việc phát triển XWorm đã được dẫn dắt bởi một nhân vật trực tuyến có tên là XCoder.
Trong một báo cáo được công bố vào tháng trước, Trellix đã nêu chi tiết các chuỗi lây nhiễm XWorm đang thay đổi, sử dụng các tệp tin shortcut của Windows (LNK) được phân phối qua email phishing để thực thi các lệnh PowerShell thả một tệp TXT vô hại và một tệp thực thi lừa đảo giả mạo Discord, sau đó cuối cùng khởi chạy mã độc.
XWorm tích hợp nhiều cơ chế chống phân tích và chống né tránh để kiểm tra các dấu hiệu của môi trường ảo hóa, và nếu phát hiện, sẽ ngừng thực thi ngay lập tức. Tính mô-đun của mã độc cho phép phát hành nhiều lệnh từ một máy chủ bên ngoài để thực hiện các hành động như tắt hoặc khởi động lại hệ thống, tải xuống tệp, mở URL và khởi động các cuộc tấn công DDoS.
"Sự phát triển nhanh chóng của XWorm trong bối cảnh các mối đe dọa, và sự phổ biến hiện tại của nó, nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ để chống lại các mối đe dọa luôn thay đổi," công ty lưu ý.
Hoạt động của XWorm cũng đã chứng kiến những trở ngại trong năm qua, quan trọng nhất là quyết định xóa tài khoản Telegram của XCoder một cách đột ngột vào nửa cuối năm 2024, khiến tương lai của công cụ này trở nên không chắc chắn. Tuy nhiên, kể từ đó, các threat actor đã bị phát hiện phân phối một phiên bản XWorm 5.6 bị bẻ khóa có chứa mã độc để lây nhiễm cho các threat actor khác có thể tải xuống.
Điều này bao gồm các nỗ lực của một threat actor không rõ danh tính nhằm lừa các script kiddies tải xuống một phiên bản XWorm RAT builder đã bị mã độc hóa thông qua các kho lưu trữ GitHub, dịch vụ chia sẻ tệp, kênh Telegram và video YouTube để xâm nhập hơn 18.459 thiết bị trên toàn cầu.
Cùng với đó, các kẻ tấn công đã phân phối các phiên bản XWorm đã sửa đổi – một trong số đó là biến thể của Trung Quốc có tên mã XSPY – cũng như việc phát hiện một lỗ hổng remote code execution (RCE) trong mã độc, cho phép kẻ tấn công có khóa mã hóa command-and-control (C2) thực thi mã tùy ý.
Mặc dù việc XCoder dường như đã từ bỏ XWorm làm dấy lên khả năng dự án này đã "đóng cửa vĩnh viễn", Trellix cho biết họ đã phát hiện một threat actor có tên XCoderTools rao bán XWorm 6.0 trên các diễn đàn tội phạm mạng vào ngày 4 tháng 6 năm 2025, với giá 500 USD cho quyền truy cập trọn đời, mô tả đây là một phiên bản "được viết lại hoàn toàn" với bản vá cho lỗ hổng RCE đã nói ở trên. Hiện vẫn chưa rõ liệu phiên bản mới nhất này là tác phẩm của cùng một nhà phát triển hay của người khác đang tận dụng danh tiếng của mã độc này.
Các chiến dịch phân phối XWorm 6.0 trong thực tế đã sử dụng các tệp tin JavaScript độc hại trong email phishing, khi được mở, sẽ hiển thị một tài liệu PDF mồi nhử, trong khi đó, mã PowerShell được thực thi ngầm để tiêm mã độc vào một tiến trình Windows hợp pháp như RegSvcs.exe mà không gây chú ý.
XWorm V6.0 được thiết kế để kết nối với máy chủ C2 tại địa chỉ 94.159.113[.]64 trên cổng 4411 và hỗ trợ một lệnh gọi là "plugin" để chạy hơn 35 payloads DLL trên bộ nhớ của máy chủ bị nhiễm và thực hiện nhiều tác vụ khác nhau.
"Khi máy chủ C2 gửi lệnh 'plugin,' nó bao gồm SHA-256 hash của tệp DLL plugin và các đối số để gọi nó," Trellix giải thích. "Máy khách sau đó sử dụng hash để kiểm tra xem plugin đã được nhận trước đó hay chưa. Nếu không tìm thấy khóa, máy khách sẽ gửi lệnh 'sendplugin' đến máy chủ C2, cùng với hash."
"Máy chủ C2 sau đó phản hồi bằng lệnh 'savePlugin' cùng với một chuỗi được mã hóa base64 chứa plugin và SHA-256 hash. Sau khi nhận và giải mã plugin, máy khách sẽ tải plugin vào bộ nhớ."
Plugins được hỗ trợ trong XWorm 6.x
Một số plugins được hỗ trợ trong XWorm 6.x (6.0, 6.4 và 6.5) được liệt kê dưới đây -
- RemoteDesktop.dll, để tạo một phiên làm việc từ xa để tương tác với máy của nạn nhân.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, và SystemCheck.Merged.dll, để đánh cắp dữ liệu của nạn nhân, chẳng hạn như Windows product keys, mật khẩu Wi-Fi và thông tin đăng nhập đã lưu từ các trình duyệt web (bỏ qua mã hóa app-bound của Chrome) và các ứng dụng khác như FileZilla, Discord, Telegram và MetaMask.
- FileManager.dll, để tạo điều kiện truy cập và thao tác hệ thống tệp cho operator.
- Shell.dll, để thực thi các lệnh hệ thống được gửi bởi operator trong một tiến trình cmd.exe ẩn.
- Informations.dll, để thu thập thông tin hệ thống về máy của nạn nhân.
- Webcam.dll, để ghi lại nạn nhân và xác minh xem máy bị nhiễm có phải là thật hay không.
- TCPConnections.dll, ActiveWindows.dll, và StartupManager.dll, để gửi danh sách các kết nối TCP đang hoạt động, cửa sổ đang hoạt động và chương trình khởi động, tương ứng, đến máy chủ C2.
- Ransomware.dll, để mã hóa và giải mã tệp tin và tống tiền người dùng bằng tiền điện tử (chia sẻ mã trùng lặp với ransomware NoCry).
- Rootkit.dll, để cài đặt một rootkit r77 đã sửa đổi.
- ResetSurvival.dll, để duy trì tồn tại sau khi thiết bị được đặt lại thông qua các sửa đổi Windows Registry.
Các cuộc tấn công bằng XWorm 6.0, bên cạnh việc thả các công cụ tùy chỉnh, cũng đã đóng vai trò là kênh trung gian cho các họ mã độc khác như DarkCloud Stealer, Hworm (RAT dựa trên VBS), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer (stealer Rust mã nguồn mở), Phantom Stealer, Phemedrone Stealer và Remcos RAT.
"Điều tra sâu hơn về tệp DLL cho thấy nhiều XWorm V6.0 Builders trên VirusTotal cũng bị nhiễm mã độc XWorm, cho thấy một operator của XWorm RAT đã bị mã độc XWorm xâm nhập!," Trellix cho biết.
"Sự trở lại bất ngờ của XWorm V6, được trang bị một loạt các plugins đa năng cho mọi thứ từ keylogging và đánh cắp thông tin đăng nhập đến ransomware, đóng vai trò như một lời nhắc nhở mạnh mẽ rằng không có mối đe dọa mã độc nào thực sự biến mất."
