Siber güvenlik araştırmacıları, XWorm kötü amaçlı yazılımının evrimini ortaya çıkardı ve onu, güvenliği ihlal edilmiş ana bilgisayarlarda çok çeşitli kötü amaçlı eylemleri desteklemek için çok yönlü bir araca dönüştürdü.
Trellix araştırmacıları Niranjan Hegde ve Sijo Jacob, geçen hafta yayınlanan bir analizde “XWorm’un modüler tasarımı, çekirdek bir istemci ve eklentiler olarak bilinen bir dizi özel bileşen etrafında inşa edilmiştir” dedi. “Bu eklentiler aslında, temel kötü amaçlı yazılım etkinleştiğinde belirli zararlı eylemleri gerçekleştirmek üzere tasarlanmış ek yüklerdir.”
İlk kez 2022’de gözlemlenen ve EvilCoder adlı bir tehdit aktörüyle bağlantılı olan XWorm, veri hırsızlığını, keylogging’i, ekran yakalamayı, kalıcılığı ve hatta fidye yazılımı operasyonlarını kolaylaştırabilen bir İsviçre çakısı kötü amaçlı yazılımdır. Öncelikle kimlik avı e-postaları ve kötü niyetli ScreenConnect yükleyicilerinin reklamını yapan sahte siteler aracılığıyla yayılır.
Geliştiricinin tanıttığı diğer araçlardan bazıları arasında .NET tabanlı bir kötü amaçlı yazılım oluşturucu, XBinder adı verilen bir uzaktan erişim truva atı ve Windows sistemlerindeki Kullanıcı Hesabı Denetimi (UAC) kısıtlamalarını atlayabilen bir program yer alıyor. Son yıllarda XWorm’un geliştirilmesine XCoder adlı çevrimiçi bir kişi öncülük ediyor.
Geçen ay yayınlanan bir raporda Trellix, zararsız bir TXT dosyası ve Discord gibi görünen yanıltıcı bir yürütülebilir dosya bırakan ve daha sonra kötü amaçlı yazılımı başlatan PowerShell komutlarını yürütmek için kimlik avı e-postaları yoluyla dağıtılan Windows kısayol (LNK) dosyalarını kullanan, değişen XWorm enfeksiyon zincirlerini ayrıntılarıyla anlattı.
XWorm, sanallaştırılmış bir ortamın işaretlerini kontrol etmek ve eğer öyleyse, yürütülmesini derhal durdurmak için çeşitli analiz önleme ve kaçınma önleme mekanizmalarını içerir. Kötü amaçlı yazılımın modülerliği, sistemi kapatmak veya yeniden başlatmak, dosyaları indirmek, URL’leri açmak ve DDoS saldırılarını başlatmak gibi eylemleri gerçekleştirmek için harici bir sunucudan çeşitli komutların verilebileceği anlamına gelir.
Şirket, “XWorm’un tehdit ortamındaki bu hızlı gelişimi ve mevcut yaygınlığı, sürekli değişen tehditlerle mücadele etmek için sağlam güvenlik önlemlerinin kritik önemini vurgulamaktadır” dedi.
XWorm’un operasyonları da geçtiğimiz yıl içinde kendi payına düşen aksaklıklara tanık oldu; bunlardan en önemlisi, XCoder’ın 2024’ün ikinci yarısında Telegram hesabını aniden silme kararıydı ve bu da aracın geleceğini belirsizlik içinde bıraktı. Ancak o zamandan bu yana, tehdit aktörlerinin XWorm 5.6 sürümünün kötü amaçlı yazılım içeren kırık bir sürümünü dağıtarak onu indirebilecek diğer tehdit aktörlerine bulaştığı gözlemlendi.
Bu, bilinmeyen bir tehdit aktörünün, senaryo çocuklarını GitHub depoları, dosya paylaşım hizmetleri, Telegram kanalları ve YouTube videoları aracılığıyla XWorm RAT oluşturucusunun truva atı haline getirilmiş bir sürümünü indirmeleri için kandırarak dünya çapında 18.459’dan fazla cihazı tehlikeye atmaya yönelik girişimlerini içeriyordu.
Bu, saldırganların XWorm’un değiştirilmiş sürümlerini (bunlardan biri XSPY kod adlı Çin versiyonudur) dağıtmasının yanı sıra, kötü amaçlı yazılımda komut ve kontrol (C2) şifreleme anahtarına sahip saldırganların rastgele kod yürütmesine olanak tanıyan bir uzaktan kod yürütme (RCE) güvenlik açığının keşfedilmesiyle tamamlanmıştır.
XWorm’un XCoder tarafından açıkça terk edilmesi, projenin “tamamen kapatılmış” olma olasılığını artırsa da Trellix, XCoderTools adlı bir tehdit aktörünün 4 Haziran 2025’te siber suç forumlarında XWorm 6.0’ı ömür boyu erişim için 500 ABD Doları karşılığında sunduğunu tespit ettiğini söyledi ve bunu yukarıda bahsedilen RCE kusuru için düzeltme içeren “tamamen yeniden kodlanmış” bir sürüm olarak tanımladı. En son sürümün aynı geliştiricinin mi yoksa kötü amaçlı yazılımın itibarından faydalanan başka birinin çalışması mı olduğu henüz bilinmiyor.
XWorm 6.0’ı yaygın olarak dağıtan kampanyalar, kimlik avı e-postalarında, açıldığında sahte bir PDF belgesi görüntüleyen kötü amaçlı JavaScript dosyaları kullandı; arka planda ise PowerShell kodu, kötü amaçlı yazılımı RegSvcs.exe gibi meşru bir Windows işlemine herhangi bir dikkat çekmeden enjekte etmek için yürütüldü.
XWorm V6.0, 94.159.113 adresindeki C2 sunucusuna bağlanacak şekilde tasarlanmıştır[.]64, 4411 numaralı bağlantı noktasında bulunur ve virüslü ana bilgisayarın belleğinde 35’ten fazla DLL yükünü çalıştırmak ve çeşitli görevleri gerçekleştirmek için “eklenti” adı verilen bir komutu destekler.
Trellix, “C2 sunucusu ‘eklenti’ komutunu gönderdiğinde, eklenti DLL dosyasının SHA-256 karmasını ve çağrılmasına ilişkin argümanları içerir” diye açıkladı. “İstemci daha sonra eklentinin daha önce alınıp alınmadığını kontrol etmek için hash’i kullanır. Anahtar bulunamazsa, istemci C2 sunucusuna hash ile birlikte bir ‘sendplugin’ komutu gönderir.”
“C2 sunucusu daha sonra eklentiyi ve SHA-256 karmasını içeren base64 kodlu bir dizeyle birlikte ‘savePlugin’ komutuyla yanıt verir. Eklentiyi aldıktan ve kodunu çözdükten sonra istemci, eklentiyi belleğe yükler.”
XWorm 6.x’te (6.0, 6.4 ve 6.5) desteklenen eklentilerden bazıları aşağıda listelenmiştir:
- RemoteDesktop.dllkurbanın makinesiyle etkileşime geçmek için uzak bir oturum oluşturmak.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll ve SystemCheck.Merged.dllWindows ürün anahtarları, Wi-Fi şifreleri ve web tarayıcılarından (Chrome’un uygulamaya bağlı şifrelemesini atlayarak) ve FileZilla, Discord, Telegram ve MetaMask gibi diğer uygulamalardan saklanan kimlik bilgileri gibi kurbanın verilerini çalmak için
- Dosya Yöneticisi.dllOperatörün dosya sistemi erişimini ve manipülasyon yeteneklerini kolaylaştırmak için
- Shell.dllOperatör tarafından gizli bir cmd.exe işleminde gönderilen sistem komutlarını yürütmek için.
- Bilgiler.dllkurbanın makinesi hakkında sistem bilgisi toplamak için.
- Web kamerası.dllkurbanı kaydetmek ve virüs bulaşmış bir makinenin gerçek olup olmadığını doğrulamak için
- TCPConnections.dll, ActiveWindows.dll ve StartupManager.dllsırasıyla etkin TCP bağlantılarının, etkin pencerelerin ve başlangıç programlarının bir listesini C2 sunucusuna göndermek için
- Ransomware.dlldosyaları şifrelemek ve şifrelerini çözmek ve kullanıcıları kripto para fidye karşılığında şantaj yapmak için (NoCry fidye yazılımıyla kod çakışmalarını paylaşır)
- Rootkit.dlldeğiştirilmiş bir r77 rootkit’i yüklemek için
- ResetSurvival.dllWindows Kayıt Defteri değişiklikleriyle cihazın sıfırlanmasından kurtulmak için
XWorm 6.0 enfeksiyonları, özel araçları bırakmanın yanı sıra DarkCloud Stealer, Hworm (VBS tabanlı RAT), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer (açık kaynaklı Rust hırsızı), Phantom Stealer, Phemedrone Stealer ve Remcos RAT gibi diğer kötü amaçlı yazılım aileleri için bir kanal görevi gördü.
Trellix, “DLL dosyasının daha ayrıntılı incelenmesi, VirusTotal üzerinde XWorm kötü amaçlı yazılım bulaşmış birden fazla XWorm V6.0 Builder’ın ortaya çıktığını ortaya çıkardı; bu da bir XWorm RAT operatörünün XWorm kötü amaçlı yazılımı tarafından tehlikeye atıldığını gösteriyor!” dedi.
“Keylogging ve kimlik bilgisi hırsızlığından fidye yazılımına kadar her şey için çok yönlü bir eklenti dizisiyle donanmış XWorm V6’nın beklenmedik geri dönüşü, hiçbir kötü amaçlı yazılım tehdidinin gerçekten ortadan kalkmadığının güçlü bir hatırlatıcısı olarak hizmet ediyor.”