Sicherheitsforscher haben entdeckt, dass die XWorm-Malware mit umfangreichen Updates wieder aufgetaucht ist.
Die neue Version enthält ein Ransomware-Modul und über 35 aktive Plugins.
Damit verwandelt sich XWorm von einem einfachen Fernzugriffs-Trojaner in ein komplettes Cybercrime-Toolkit, das Daten stehlen, verschlüsseln und ausspionieren kann.
Ein neu geborenes Schadprogramm
XWorm erschien erstmals Anfang 2022 und wurde in Untergrundforen als anpassbarer Remote Access Trojan (RAT) verkauft.
Sein niedriger Preis, das modulare Design und die benutzerfreundliche Oberfläche machten ihn bei Angreifern der unteren und mittleren Ebenen beliebt.
Nun berichten Forscher, dass die Entwickler das Tool vollständig überarbeitet haben.
Die neue Version integriert Ransomware-Funktionen, die Dateien verschlüsseln, Lösegeld fordern und sich über Netzwerke verbreiten können.
Darüber hinaus enthält sie Keylogger, Passwortdiebstahl-Tools und Funktionen zur Datenexfiltration.
Über 35 aktive Plugins
Die neue XWorm-Variante unterstützt mehr als 35 Plugins, die jeweils eine spezifische Funktion erfüllen. Dazu gehören:
- Systemkontrolle: Fernzugriff auf den Desktop, Bildschirmaufnahmen und Webcam-Aktivierung.
- Anmeldeinformationsdiebstahl: Diebstahl von Browser-, E-Mail- und Kryptowallet-Daten.
- Datenüberwachung: Zwischenablage-Überwachung, Dateiübertragung und automatisierte Screenshots.
- Zerstörerische Funktionen: Ransomware-Verschlüsselung, Datei-Löschung und System-Sperrung.
Forscher warnen, dass diese Vielseitigkeit es Angreifern ermöglicht, XWorm für Spionage, Finanzdiebstahl oder Ransomware-Angriffe anzupassen.
Verbreitung und Infektionswege
Angreifer verbreiten XWorm über Phishing-Kampagnen, schädliche Anhänge und raubkopierte Software.
Einige Infektionen werden auch über Loader-Malware wie PureCrypter oder Cobalt Strike Beacons verbreitet, die XWorm als sekundäre Nutzlast installieren.
Nach der Installation verbindet sich die Malware mit einem Command-and-Control-Server (C2) und lädt die benötigten Plugins dynamisch nach.
Diese Methode ermöglicht es Angreifern, Antivirenprogramme zu umgehen, indem nur Module aktiviert werden, wenn sie gebraucht werden.
Ransomware-Funktionen und Auswirkungen
Das Ransomware-Modul kann Dokumente, Bilder und Datenbanken mit AES- und RSA-Verschlüsselung verschlüsseln.
Die Opfer erhalten eine Lösegeldforderung mit Anweisungen, in Kryptowährung zu bezahlen, um ihre Dateien wiederherzustellen.
Forscher beobachteten, dass XWorms Ransomware sowohl Einzelpersonen als auch Unternehmensnetzwerke ins Visier nehmen kann.
Durch die Kombination mit Daten-Exfiltrations-Plugins kann die Malware Dateien sowohl stehlen als auch sperren – was die Erpressungsgefahr verdoppelt.
Schutz und Erkennung
Sicherheitsexperten raten Nutzern und Organisationen zu folgenden Maßnahmen:
- Keine verdächtigen Anhänge oder Downloads öffnen.
- Antivirensoftware stets aktuell halten.
- Netzwerkverbindungen auf ungewöhnliche Aktivitäten überwachen.
- Infizierte Geräte sofort isolieren, um die Ausbreitung zu stoppen.
- Offline-Backups wichtiger Daten anlegen.
Fazit
Die neue XWorm-Variante stellt eine bedeutende Weiterentwicklung moderner Cyberbedrohungen dar.
Ihr modulares Design und ihre Ransomware-Fähigkeiten verwischen die Grenzen zwischen Spionage-, Diebstahl- und Verschlüsselungssoftware.
Da sich XWorm ständig weiterentwickelt, müssen Organisationen ihre Endpunktüberwachung stärken und bekannte Schwachstellen schließen, um den immer anpassungsfähigeren Cyberkriminellen einen Schritt voraus zu bleiben.
0 Kommentare zu „XWorm-Malware taucht erneut auf – jetzt mit Ransomware-Modul und 35 neuen Plugins“