كشفت تقارير أمنية حديثة عن ظهور نسخة محسّنة من أداة الوصول عن بُعد الخبيثة المعروفة باسم XWorm، وتحمل هذه النسخة رقم 6.0، وتتميز بقدرات هجومية متقدمة تتضمن حماية العمليات الذاتية ضد الإنهاء، وتقنيات مضادة للتحليل الرقمي، مما يشير إلى استمرار المطورين في تطوير الأساليب وتحسين قدراتهم لتفادي الرصد والمراقبة.
وسائل الوصول الأولي والتثبيت
تبدأ الحملة الهجومية في الغالب عبر سيناريوهات الهندسة الاجتماعية التي توظّف سكربتات مكتوبة بلغة “فيجوال بيسك سكريبت” (VBS) كوسيلة للوصول الأولي إلى الأجهزة المستهدفة. وبخلاف الإصدارات السابقة التي كانت تعتمد على مهام مجدولة (Scheduled Tasks)، تعتمد النسخة الجديدة على إدخال البرمجية في سجل نظام ويندوز (Windows Registry) لتحقيق الثبات والاستمرارية، كما توفر أداة بناء XWorm ثلاثة خيارات للتثبيت، منها أيضًا نسخ الحمولة إلى مجلد بدء التشغيل (Startup folder).
التهرب من أدوات الحماية
من أبرز التحسينات التي حملتها هذه النسخة قدرة XWorm على تجاوز واجهة فحص البرامج الضارة (AMSI) الخاصة بنظام ويندوز، وذلك عبر تعديل ديناميكي لذاكرة مكتبة “clr.dll” أثناء التشغيل، مما يسمح لها بتفادي اكتشافها من قبل أدوات الحماية المثبتة على الجهاز.
قدرات التحكم الجديدة
النسخة المحسنة من XWorm تضم ميزة حماية نفسها من الإنهاء القسري عبر وسم العملية بأنها “عملية حرجة” (Critical Process)، ما يعني أن أي محاولة لإيقافها قد تؤدي إلى انهيار النظام. كما تقوم البرمجية تلقائيًا بإنهاء نفسها إذا اكتشفت أنها تعمل على نظام Windows XP، وهو ما يعكس مستوى من الدقة في ضبط البيئات المستهدفة وتجنب البيئات غير الداعمة للوظائف الحديثة.
وتُعد XWorm واحدة من أدوات التحكم عن بُعد (RATs) التي تُباع بشكل غير قانوني في منتديات القرصنة، وتستخدم عادة من قبل جهات تهديد متعددة لأغراض التجسس وسرقة البيانات وتنفيذ أوامر عن بُعد. وتُظهر هذه النسخة الجديدة تحولًا مستمرًا نحو مزيد من التعقيد والتخصص في أساليب التسلل والإخفاء، ما يفرض تحديات متزايدة على فرق الأمن السيبراني.
