Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware XWorm 6.0-Malware

XWorm 6.0-Malware

Von Mezo in Malware, Würmer
Übersetzen Sie in:

Sicherheitsforscher haben XWorm von einem kompakten Remote-Access-Framework zu einer hochmodularen Plattform zurückverfolgt, die Betreiber nutzen, um eine Vielzahl bösartiger Operationen auf kompromittierten Windows-Hosts auszuführen. XWorm wurde erstmals 2022 entdeckt und einer Gruppe mit dem Namen EvilCoder zugeordnet. Seitdem wurde es von Einzelpersonen unter dem Namen XCoder (leitender Entwickler bis Mitte 2024) und in jüngerer Zeit von Anbietern wie XCoderTools aktiv weiterentwickelt und überarbeitet. Seine kontinuierliche Weiterentwicklung und sein erneutes Auftauchen zeigen, wie schnell ein Tool fragmentiert, neu verpackt und wieder in die freie Wildbahn gelangen kann.

Wie XWorm aufgebaut ist – Kern + Plugins

Die Architektur von XWorm basiert auf einem kleinen Client, der auf einen Command-and-Control-Server (C2) und eine große Anzahl von Plug-in-Payloads zugreift, die bei Bedarf in den Speicher geladen werden. Das Design ermöglicht es Betreibern, den schlanken Client auf einem Host zu belassen und gleichzeitig dynamisch Funktionen (DLLs) zur Ausführung bestimmter Aufgaben zu nutzen. Das Ökosystem des Projekts umfasst außerdem von den Entwicklern beworbene Zusatztools: einen .NET-Malware-Builder, ein separates RAT namens XBinder und ein Dienstprogramm, das versucht, die Windows-Benutzerkontensteuerung (UAC) zu umgehen. Die Entwickler-Community rund um XWorm hat weitere Komponenten und gefälschte Installationsprogramme (insbesondere bösartige ScreenConnect-Installationsprogramme) als Köder für die Verbreitung beworben.

Infektionsketten und Übertragungstechniken

Forscher haben mehrere, sich verändernde Infektionsabläufe für XWorm beobachtet. Frühe Ketten basierten auf Phishing-Nachrichten, die Windows-Verknüpfungsdateien (LNK) übermittelten. Die LNKs führten PowerShell aus, das Täuschungsdateien (zum Beispiel eine harmlose TXT-Datei) und eine irreführende ausführbare Datei (häufig als Discord getarnt) ablegte, die schließlich die eigentliche Schadsoftware startete. Neuere Kampagnen zur Verbreitung der 6.x-Familie verwendeten bösartige JavaScript-Anhänge in Phishing-E-Mails, die eine Täuschungs-PDF anzeigten, während im Hintergrund PowerShell ausgeführt wurde. Dieses injizierte XWorm in legitime Prozesse wie RegSvcs.exe, um einer Erkennung zu entgehen. Bedrohungsakteure verbreiteten außerdem gecrackte oder mit Trojanern infizierte Versionen von XWorm-Komponenten über GitHub-Repositories, Filesharing-Sites, Telegram-Kanäle und YouTube und versuchten so, weniger erfahrene Betreiber zur Installation von Backdoor-Buildern zu verleiten.

Ausweich-, Fernsteuerungs- und Bedienfunktionen

XWorm integriert mehrere Anti-Analyse-Prüfungen, die die Ausführung abbrechen, wenn Virtualisierungs- oder Sandbox-Indikatoren erkannt werden. Sobald der Client aktiv ist, akzeptiert er Befehle vom C2, die gängige RAT-Operationen (Dateiübertragung, Prozess- und Servicemanipulation, Ausführen von Shell-Befehlen, Öffnen von URLs), Systemsteuerung (Herunterfahren/Neustart) und aggressivere Aktionen wie das Starten von DDoS-Aktivitäten abdecken. Das modulare Plug-in-Modell ermöglicht es einem Remote-Operator, mehr als 35 verschiedene DLL-Payloads im Speicher auszuführen, ohne sie auf die Festplatte zu schreiben. Dies bietet XWorm eine flexible Angriffsfläche und reduziert gleichzeitig forensische Spuren.

Plugin-Lieferprotokoll

XWorm 6.x implementiert ein Hash-First-Plugin-Protokoll: Der C2 gibt einen „Plugin“-Befehl aus, der den SHA-256-Hash der angeforderten DLL sowie Laufzeitargumente enthält. Der Client prüft, ob das Plugin bereits im Cache gespeichert ist. Ist dies nicht der Fall, fordert er die Datei mit „sendplugin“ an. Der Server antwortet mit einem „savePlugin“-Befehl, der das Plugin als Base64-Blob und dessen SHA-256-Hash enthält. Der Client dekodiert den Blob, überprüft den Hash und lädt die DLL zur Ausführung direkt in den Speicher.

Bemerkenswerte Plugins und was sie tun

  • RemoteDesktop.dll – stellt eine interaktive Remotesitzung her.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll – Diebstahl von Anmeldeinformationen und Daten aus Betriebssystemen und Anwendungen (Windows-Schlüssel, WLAN-Passwörter, im Browser gespeicherte Anmeldeinformationen, einschließlich Umgehungen für app-gebundene Verschlüsselung und Harvester für FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll – Zugriff und Manipulation des Dateisystems.
  • Shell.dll – versteckte Ausführung von Operatorbefehlen über cmd.exe.
  • Informations.dll – Host-/System-Fingerprinting.
  • Webcam.dll – erfasst Webcam-Bilder/-Videos, um ein echtes Opfer zu bestätigen.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – zählt Netzwerkverbindungen, aktive Fenster und Autostart-Einträge auf.
  • Ransomware.dll – Routinen zur Dateiverschlüsselung/-entschlüsselung (teilt Code mit Ransomware im NoCry-Stil).
  • Rootkit.dll – installiert ein modifiziertes R77-Rootkit.
  • ResetSurvival.dll – ändert die Windows-Registrierung, damit sie bestimmte Geräte-Resets übersteht.

Zu den weiteren über XWorm-Infektionen verbreiteten Schadprogrammen zählen:

  • DarkCloud Stealer
  • Hworm (VBS RAT)
  • Snake KeyLogger
  • Münzschürfer
  • Reine Malware
  • ShadowSniff (Rust-Stealer, Open Source)
  • Phantomdieb
  • Phemedrone-Dieb
  • Remcos RAT

    • Operative Rückschläge, Fragmentierung und bewaffnete Forks

    Die Entwicklung von XWorm verlief nicht linear. In der zweiten Jahreshälfte 2024 löschte die Person XCoder abrupt ihre Telegram-Präsenz, was Zweifel an der Zukunft des Projekts aufkommen ließ. Diese Lücke führte jedoch zu opportunistischen Aktivitäten: geknackte XWorm v5.6-Pakete, die selbst mit Trojanern infiziert wurden, um andere Bedrohungsakteure zu infizieren, sowie Social-Engineering-Kampagnen, die sich über GitHub und andere öffentliche Kanäle an „Script Kiddies“ richteten – Kampagnen, die nach Schätzungen von Forschern versuchten, Zehntausende von Geräten (angeblich über 18.000) zu kompromittieren.

    Analysten fanden außerdem modifizierte Forks, darunter eine Variante mit der Bezeichnung XSPY (gemeldeter Ursprung: chinesischsprachige Variante) und eine kritische Schwachstelle für Remote Code Execution (RCE) in einigen Builds. Diese ermöglichte es Personen mit dem C2-Verschlüsselungsschlüssel, beliebigen Code auf infizierten Hosts auszuführen. Die Fragmentierung des Toolkits erschwert die Zuordnung und Deaktivierung; verschiedene Anbieter und Forks können unabhängig voneinander erscheinen und verschwinden.

    Das 2025-Resurfacing: XWorm 6.0 und Marktplatzaktivität

    Am 4. Juni 2025 veröffentlichte ein Anbieter namens XCoderTools XWorm 6.0 in Cybercrime-Foren für 500 US-Dollar lebenslangen Zugriff. Er behauptete, die Version sei komplett neu programmiert und der zuvor gemeldete RCE-Fehler sei behoben. Es ist unklar, ob diese Version vom ursprünglichen Autor oder von einem Drittanbieter stammt, der die Marke XWorm nutzt. Beobachtete XWorm 6.0-Beispiele sind so konfiguriert, dass sie einen C2 unter 94.159.113[.]64 auf Port 4411 kontaktieren und das oben beschriebene Plugin-Protokoll implementieren, wodurch eine schnelle, speicherinterne Bereitstellung von Dutzenden von DLL-Modulen ermöglicht wird.

    Fazit

    Der Lebenszyklus von XWorm – von der aktiven Entwicklung über die Aufgabe bis hin zum Wiederauftauchen unter neuen Anbietern und in trojanisierten, gecrackten Versionen – erinnert daran, dass Malware ein Ökosystem ist. Selbst wenn der ursprüngliche Autor verschwindet, kann sein Code von anderen geforkt, als Waffe eingesetzt und erneut eingesetzt werden. Verteidiger müssen sich daher auf robuste Kontroll- und Erkennungsstrategien konzentrieren, die davon ausgehen, dass Angreifer vorhandene Toolsets wiederverwenden und neu verpacken.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...