XWorm 6.0 regresa con más complementos y capacidades mejoradas

AXCESS · Octubre 08, 2025, 01:40:18 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han analizado la evolución del malware XWorm, convirtiéndolo en una herramienta versátil que permite una amplia gama de acciones maliciosas en hosts comprometidos.

"El diseño modular de XWorm se basa en un cliente principal y una serie de componentes especializados conocidos como plugins", explicaron los investigadores de Trellix Niranjan Hegde y Sijo Jacob en un análisis publicado la semana pasada. "Estos plugins son esencialmente cargas útiles adicionales diseñadas para realizar acciones dañinas específicas una vez que el malware principal está activo".

XWorm, observado por primera vez en 2022 y vinculado a un actor de amenazas llamado EvilCoder, es una especie de navaja suiza de malware que puede facilitar el robo de datos, el registro de pulsaciones de teclas, la captura de pantalla, la persistencia e incluso operaciones de ransomware. Se propaga principalmente a través de correos electrónicos de phishing y sitios web falsos que anuncian instaladores maliciosos de ScreenConnect.

Algunas de las otras herramientas anunciadas por el desarrollador incluyen un generador de malware basado en .NET, un troyano de acceso remoto llamado XBinder y un programa que puede eludir las restricciones del Control de Cuentas de Usuario (UAC) en sistemas Windows. En los últimos años, el desarrollo de XWorm ha sido liderado por una persona en línea llamada XCoder.

En un informe publicado el mes pasado, Trellix detalló cómo las cadenas de infección de XWorm se desplazaban mediante archivos de acceso directo de Windows (LNK) distribuidos mediante correos electrónicos de phishing para ejecutar comandos de PowerShell que descargaban un archivo TXT inofensivo y un ejecutable engañoso que se hacía pasar por Discord, y que finalmente ejecutaba el malware.

XWorm incorpora diversos mecanismos antianálisis y antievasión para detectar indicios de un entorno virtualizado y, de ser así, detener inmediatamente su ejecución. La modularidad del malware permite ejecutar diversos comandos desde un servidor externo para realizar acciones como apagar o reiniciar el sistema, descargar archivos, abrir URL e iniciar ataques DDoS.

«Esta rápida evolución de XWorm en el panorama de amenazas, y su prevalencia actual, resalta la importancia crucial de contar con medidas de seguridad robustas para combatir las amenazas en constante evolución», señaló la compañía.

Las operaciones de XWorm también han experimentado varios contratiempos durante el último año, siendo el más importante la decisión de XCoder de eliminar su cuenta de Telegram abruptamente en la segunda mitad de 2024, dejando el futuro de la herramienta en el limbo. Sin embargo, desde entonces, se ha observado que los cibercriminales distribuyen una versión pirateada de XWorm 5.6 que contenía malware para infectar a otros cibercriminales que podrían descargarla.

Esto incluyó intentos de un actor de amenazas desconocido para engañar a script kiddies para que descargaran una versión troyanizada del generador de RAT XWorm a través de repositorios de GitHub, servicios de intercambio de archivos, canales de Telegram y vídeos de YouTube, comprometiendo así más de 18.459 dispositivos en todo el mundo.

Estos esfuerzos también se han visto complementados por atacantes que distribuyen versiones modificadas de XWorm —una de las cuales es una variante china con nombre en código XSPY—, así como por el descubrimiento de una vulnerabilidad de ejecución remota de código (RCE) en el malware que permite a los atacantes con la clave de cifrado de comando y control (C2) ejecutar código arbitrario.

Si bien el aparente abandono de XWorm por parte de XCoder planteó la posibilidad de que el proyecto se cerrara definitivamente, Trellix afirmó haber detectado a un actor de amenazas llamado XCoderTools que ofrecía XWorm 6.0 en foros de ciberdelincuencia el 4 de junio de 2025 por 500 dólares con acceso de por vida, describiéndolo como una versión "completamente recodificada" con una corrección para la falla de RCE mencionada anteriormente. Actualmente se desconoce si la última versión es obra del mismo desarrollador o de alguien más que se aprovecha de la reputación del malware.

Las campañas que distribuyen XWorm 6.0 han utilizado archivos JavaScript maliciosos en correos electrónicos de phishing que, al abrirse, muestran un documento PDF falso, mientras que, en segundo plano, se ejecuta código de PowerShell para inyectar el malware en un proceso legítimo de Windows como RegSvcs.exe sin llamar la atención.

XWorm V6.0 está diseñado para conectarse a su servidor C2 en 94.159.113[.]64, puerto 4411, y admite el comando "plugin" para ejecutar más de 35 cargas útiles de DLL en la memoria del host infectado y realizar diversas tareas.

"Cuando el servidor C2 envía el comando 'plugin', incluye el hash SHA-256 del archivo DLL del plugin y los argumentos para su invocación", explicó Trellix. "El cliente utiliza el hash para comprobar si el plugin se ha recibido previamente. Si no se encuentra la clave, el cliente envía el comando 'sendplugin' al servidor C2, junto con el hash".

"El servidor C2 responde entonces con el comando 'savePlugin' junto con una cadena codificada en base64 que contiene el plugin y el hash SHA-256. Tras recibir y decodificar el plugin, el cliente lo carga en la memoria".

A continuación, se enumeran algunos de los complementos compatibles con XWorm 6.x (6.0, 6.4 y 6.5):

RemoteDesktop.dll: para crear una sesión remota e interactuar con el equipo de la víctima.

WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll y SystemCheck.Merged.dll: para robar datos de la víctima, como claves de producto de Windows, contraseñas de Wi-Fi y credenciales almacenadas de navegadores web (eludiendo el cifrado de Chrome) y otras aplicaciones como FileZilla, Discord, Telegram y MetaMask.

FileManager.dll: para facilitar al operador el acceso al sistema de archivos y la manipulación de sus funciones.

Shell.dll: para ejecutar comandos del sistema enviados por el operador en un proceso oculto cmd.exe.

Informations.dll: para recopilar información del sistema sobre el equipo de la víctima. Webcam.dll: graba a la víctima y verifica la autenticidad del equipo infectado.

TCPConnections.dll, ActiveWindows.dll y StartupManager.dll: envían una lista de conexiones TCP activas, ventanas activas y programas de inicio, respectivamente, al servidor C2.

Ransomware.dll: cifra y descifra archivos y extorsiona a los usuarios con un rescate en criptomonedas (su código se solapa con el del ransomware NoCry).

Rootkit.dll: instala un rootkit r77 modificado.

ResetSurvival.dll: sobrevive al restablecimiento del dispositivo mediante modificaciones del Registro de Windows.

Las infecciones de XWorm 6.0, además de instalar complementos personalizados, también han servido como conducto para otras familias de malware como DarkCloud Stealer, Hworm (un RAT basado en VBS), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer (un RAT de código abierto para Rust), Phantom Stealer, Phemedrone Stealer y Remcos RAT.

Una investigación más profunda del archivo DLL reveló varios compiladores de XWorm V6.0 en VirusTotal que, a su vez, están infectados con malware XWorm, lo que sugiere que un operador de RAT de XWorm ha sido comprometido por malware XWorm", declaró Trellix.

El inesperado regreso de XWorm V6, equipado con una versátil gama de complementos para todo, desde keylogging y robo de credenciales hasta ransomware, sirve como un poderoso recordatorio de que ninguna amenaza de malware desaparece por completo.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

XWorm 6.0 regresa con más complementos y capacidades mejoradas

AXCESS

Octubre 08, 2025, 01:40:18 PM