Sikkerhetsforskere har oppdaget at XWorm-malwaren har dukket opp igjen med store oppgraderinger, inkludert en ny løsepengevirusmodul og mer enn 35 aktive programtillegg.
Den nyeste versjonen gjør XWorm om fra en fjernstyrt trojaner til et fullskala cyberkrimverktøy som kan stjele, kryptere og overvåke data.
Et gjenfødt skadevareverktøy
XWorm dukket først opp tidlig i 2022 og ble solgt på undergrunnsfora som en tilpassbar Remote Access Trojan (RAT).
Den lave prisen, modulbaserte designen og brukervennlige grensesnittet gjorde den populær blant angripere på lavt til middels nivå.
Nå rapporterer forskere at utviklerne har bygd om verktøyet fullstendig, med integrert løsepengefunksjonalitet som kan kryptere filer, kreve betaling og spre seg i nettverk.
Den oppdaterte versjonen inkluderer også tasteloggere, passordstjelere og funksjoner for dataeksfiltrering.
Mer enn 35 aktive programtillegg
Den nye XWorm-varianten støtter over 35 programtillegg, hver med sitt eget formål. Disse inkluderer:
- Systemkontroll: fjernstyring av skrivebord, skjermopptak og aktivering av webkamera.
- Kredentialtyveri: tyveri av nettleserdata, e-postkontoer og kryptolommebøker.
- Dataovervåking: overvåking av utklippstavlen, filoverføring og automatiske skjermbilder.
- Destruktive funksjoner: løsepengekryptering, sletting av filer og låsing av systemer.
Forskere advarer om at denne allsidigheten gjør det mulig for angripere å bruke XWorm til spionasje, økonomisk tyveri eller løsepengeangrep.
Spredningsmetoder og distribusjon
Angripere sprer XWorm gjennom phishing-kampanjer, ondsinnede vedlegg og piratkopierte programmer.
Noen infeksjoner distribueres også via loader-skadevare som PureCrypter og Cobalt Strike-beacons, som laster XWorm som en sekundær nyttelast.
Når den er installert, kobler malwaren seg til en fjernstyrt kommando- og kontrollserver (C2) og laster inn programtillegg etter behov.
Denne taktikken gjør det mulig for angripere å omgå antivirusprogrammer ved kun å aktivere moduler når de trengs.
Løsepengefunksjoner og konsekvenser
Løsepenge-modulen kan kryptere dokumenter, bilder og databaser ved hjelp av AES- og RSA-kryptering.
Ofrene mottar en løseseddel med instruksjoner om å betale i kryptovaluta for å få filene dekryptert.
Forskere har observert at XWorms løsepengevirus kan angripe både enkeltpersoner og bedriftsnettverk, noe som gjør det til et fleksibelt og farlig verktøy.
Kombinert med datatyverifunksjonene kan det både eksfiltrere og låse filer – noe som dobler utpressingstrusselen.
Beskyttelse og oppdagelse
Sikkerhetseksperter anbefaler brukere og organisasjoner å:
- Unngå mistenkelige vedlegg og nedlastinger.
- Holde antivirusprogramvare oppdatert.
- Overvåke nettverk for uvanlig aktivitet.
- Isolere infiserte enheter umiddelbart for å forhindre spredning.
- Oppbevare offline-sikkerhetskopier av viktig data.
Konklusjon
Den nye XWorm-varianten representerer en betydelig utvikling i moderne cybertrusler.
Dens modulbaserte design og løsepengefunksjoner visker ut grensene mellom spionvare, datatyveri og krypteringsangrep.
Etter hvert som XWorm fortsetter å utvikle seg, må organisasjoner styrke endepunktsovervåkingen og tette kjente sårbarheter for å ligge i forkant av stadig mer tilpasningsdyktige cyberkriminelle.
0 responses to “XWorm-skadevaren dukker opp igjen med løsepengevirusmodul og 35 nye programtillegg”