Sikkerhedsforskere har opdaget, at XWorm-malwaren er vendt tilbage med store opgraderinger, herunder et nyt ransomware-modul og over 35 aktive plugins.
Den nyeste version forvandler XWorm fra en fjernadgangstrojaner til et fuldskala cyberkriminelt værktøj, der kan stjæle, kryptere og overvåge data.
Et genfødt malware-værktøj
XWorm dukkede først op i begyndelsen af 2022 og blev solgt på undergrundsfora som en tilpasselig Remote Access Trojan (RAT).
Den lave pris, modulære opbygning og brugervenlige grænseflade gjorde den populær blandt angribere på lavt til mellemniveau.
Nu rapporterer forskere, at udviklerne har genskabt værktøjet fuldstændigt med integreret ransomware-funktionalitet, der kan kryptere filer, kræve betaling og sprede sig gennem netværk.
Den opdaterede version indeholder også keyloggere, adgangsoplysningerstyvere og funktioner til dataeksfiltrering.
Mere end 35 aktive plugins
Den nye XWorm-variant understøtter over 35 plugins, som hver har deres eget formål. Disse inkluderer:
- Systemkontrol: fjernskrivebord, skærmoptagelse og aktivering af webcam.
- Tyveri af adgangsoplysninger: stjæler data fra browsere, e-mailkonti og kryptovaluta-punge.
- Dataovervågning: overvågning af udklipsholder, filoverførsel og automatiske skærmbilleder.
- Destruktive funktioner: ransomware-kryptering, fil-sletning og systemnedlukning.
Forskere advarer om, at denne alsidighed gør det muligt for angribere at tilpasse XWorm til spionage, økonomisk tyveri eller ransomware-angreb.
Spredningsmetoder og distribution
Angribere spreder XWorm gennem phishing-kampagner, ondsindede vedhæftede filer og piratkopierede programmer.
Nogle infektioner leveres også via loader-malware som PureCrypter og Cobalt Strike-beacons, der installerer XWorm som sekundær nyttelast.
Når malwaren først er installeret, forbinder den sig til en fjernstyret Command-and-Control-server (C2) og indlæser plugins efter behov.
Denne metode gør det muligt for angribere at omgå antivirusprogrammer ved kun at aktivere moduler, når de skal bruges.
Ransomware-funktioner og konsekvenser
Ransomware-modulet kan kryptere dokumenter, billeder og databaser ved hjælp af AES- og RSA-kryptering.
Ofrene modtager en løseseddel med instruktioner om at betale i kryptovaluta for at få dekrypteret deres filer.
Forskere har observeret, at XWorms ransomware kan ramme både enkeltpersoner og virksomhedsnetværk, hvilket gør det til et fleksibelt og farligt værktøj.
Kombineret med dens datatyverifunktioner kan den både eksfiltrere og låse filer – hvilket fordobler afpresningstruslen.
Beskyttelse og opdagelse
Sikkerhedseksperter anbefaler, at brugere og organisationer:
- Undgår mistænkelige vedhæftede filer og downloads.
- Holder antivirussoftware opdateret.
- Overvåger netværk for unormal aktivitet.
- Isolerer inficerede enheder straks for at forhindre spredning.
- Opretholder offline-backup af vigtig data.
Konklusion
Den nye XWorm-variant repræsenterer en markant udvikling i moderne cybertrusler.
Dens modulære struktur og ransomware-kapaciteter udvisker grænserne mellem spyware, datatyveri og kryptering.
Efterhånden som XWorm fortsætter med at udvikle sig, må organisationer styrke deres overvågning af enheder og lukning af kendte sårbarheder for at holde sig foran de stadigt mere tilpasningsdygtige cyberkriminelle.
0 svar til “XWorm-malwaren vender tilbage med ransomware-modul og 35 nye plugins”