رصد باحثو الأمن تحوّل برمجية XWorm الخبيثة إلى أداة مرنة تُدعم طيفا واسعا من الأنشطة الضارة على الأنظمة المصابة، مبنية حول نواة رئيسية وملحقات متخصصة (plugins) تقوم بأدوار محددة عند تفعيلها.
تعرضت XWorm لأول ملاحظة عام 2022 وربطتها التحليلات بمجموعة تهديد تسمى EvilCoder؛ ومنذ ذلك الحين تطورت لتصبح “سكين سويسري” خبيثًا قادراً على سرقة البيانات، وتسجيل ضغطات المفاتيح، والتقاط الشاشة، وتأمين الإصرار على البقاء، وحتى تنفيذ عمليات فدية رقمية. ينتشر البرمجية أساسًا عبر رسائل التصيّد ومواقع مخادعة تروّج لنسخ مزيفة من مثبتات ScreenConnect.
سلاسل العدوى وأساليب الإخفاء والتوزيع
وثّق فريق Trellix سلاسل إصابة متغيرة تعتمد ملفات اختصار ويندوز (LNK) الموزعة عبر البريد الإلكتروني الاحتيالي لتنفيذ أوامر PowerShell التي تُسقط ملف TXT خدّاعًا وملفًا تنفيذيًا مُزيّفًا على هيئة Discord، قبل أن يُشغّل الأخير الحمولة الخبيثة.
تضمّن تصميم XWorm آليات مضادة للتحليل والكشف عن بيئات افتراضية؛ فإذا اكتشفت مؤشرًا لوجود صندوق افتراضي تتوقف عن التنفيذ فورًا لتجنب التحليل. كما تسمح مرونته للمشغّل باستقبال أوامر من خادم التحكم لتنفيذ إجراءات مثل إيقاف/إعادة تشغيل النظام، تنزيل ملفات، فتح عناوين URL، وشن هجمات حجب الخدمة (DDoS).
عودة V6.0 ومجموعة ملحقات غنية بالوظائف الخبيثة
بعد مرحلة من الضياع الظاهري عقب حذف حساب مطوّر يُدعى XCoder في 2024، ظهر عارض جديد باسم XCoderTools عرض XWorm 6.0 في منتديات الجريمة الإلكترونية في 4 يونيو 2025 بسعر 500 دولار للوصول مدى الحياة، ووصِف بأنّه “معاد كتابته بالكامل” مع إصلاح ثغرة تنفيذ التعليمات عن بُعد داخل البرمجية نفسها. ما إذا كان الإصدار الجديد من نفس مطوّر المشروع أو من مستفيد استثماري لا يزال غير مؤكد.
حملات توزيع XWorm 6.0 استخدمت ملفات JavaScript خبيثة في رسائل الصيّد تُظهر مستند PDF خدّاعًا بينما تُشغّل في الخلفية أوامر PowerShell لحقن الحمولة في عمليات ويندوز شرعية مثل RegSvcs.exe دون لفت الانتباه. يتصل الإصدار V6.0 بخادم C2 على العنوان 94.159.113[.]64 على المنفذ 4411، ويدعم أمراً يسمى “plugin” لتحميل وتشغيل أكثر من 35 ملف DLL في ذاكرة النظام للقيام بمهام متنوّعة.
ملحقات وظيفية واسعة وبيئة توزيع متعددة البرمجيات
يوضح تحليل Trellix آلية تحميل الملحقات: يرسل خادم C2 أمر “plugin” مع قيمة SHA-256 لملف الملحق ومعاملات التشغيل؛ يفحص العميل ما إذا كان الملحق موجودًا محليًا، وإذا لم يكن كذلك يطلب من الخادم أمر “sendplugin” لاستلام سلسلة Base64 تحوي الملحق، ثم يُحمّل الملحق في الذاكرة ويُنفّذ.
بعض الملحقات المدعومة في سلسلة إصدارات 6.x تتضمن:
RemoteDesktop.dll (جلسة سطح مكتب عن بُعد)، WindowsUpdate.dll، Stealer.dll، Recovery.dll، merged.dll، Chromium.dll، SystemCheck.Merged.dll (سرقة مفاتيح Windows، كلمات مرور Wi-Fi، بيانات الاعتماد المخزنة في المتصفحات وتطبيقات مثل FileZilla وDiscord وTelegram وMetaMask)، FileManager.dll (إدارة نظام الملفات)، Shell.dll (تنفيذ أوامر مخفية عبر cmd.exe)، Informations.dll، Webcam.dll (تسجيل الضحية)، TCPConnections.dll، ActiveWindows.dll، StartupManager.dll، Ransomware.dll (تشفير وفك تشفير الملفات ومطالبات فدية — تشارك أجزاء من الشيفرة مع NoCry)، Rootkit.dll (تثبيت روتكيت r77 معدل)، ResetSurvival.dll (التعايش مع إعادة ضبط الجهاز عبر تعديل سجل ويندوز).
بالإضافة إلى تشغيل ملحقاته الخاصة، استُخدمت إصابات XWorm كنقطة دخول لأسر أخرى من البرمجيات الخبيثة مثل DarkCloud Stealer وHworm (RAT مبني على VBS) وSnake KeyLogger ومعدِّن عملات وShadowSniff وPhantom Stealer وPhemedrone وRemcos RAT. كشف بحث Trellix أيضًا عن وجود مُنشئي XWorm على VirusTotal ملوّثين بإصدارات XWorm، ما يشير إلى إمكانية اختراق مشغّلي RAT أنفسهم عبر أدوات مسروقة.
