Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées.
• Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩
• Chaîne d’infection: Les campagnes observées utilisent un dropper JavaScript qui télécharge des scripts PowerShell pour désactiver AMSI et injecter le client XWorm dans des processus légitimes (ex. RegSvcs.exe). Les charges utiles de plugins sont gzip et stockées dans le Registre, puis chargées en mémoire. 🔐
• Persistance et furtivité: XWorm abuse des clés UserInitMprLogonScript, du Run key, et modifie ResetConfig.xml pour survivre à une réinitialisation d’usine. Le client génère des IDs uniques via MD5 d’attributs système et ouvre plusieurs connexions TCP pour la communication des plugins. 🖥️
• Plugins et chevauchements de code: Plugins notables analysés: Shell.dll (exécution cmd), RemoteDesktop.dll (capture/contrôle d’écran), merged.dll et SystemCheck.Merged.dll (bypass Chrome v20 via DLL injection et PoC « Chrome-App-Bound-Encryption-Decryption »), FileManager.dll (fichiers), Ransomware.dll (AES-CBC avec clés dérivées par SHA-512). Des similitudes de code sont relevées avec NoCry Ransomware. Des versions crackées circulent, certaines builders trojanisés infectant même leurs opérateurs. 🧪
• Chiffrement et C2: Le client communique avec le C2 en AES, avec une clé par défaut passée de '<123456789>' (v5.6) à '<666666>' (v6.0). Les payloads de plugins sont référencés par hash SHA-256 et conservés sous HKCU\SOFTWARE\<CLIENT_ID>.
IOCs et artefacts observables:
- Chaîne: JavaScript dropper -> PowerShell (AMSI bypass) -> injection dans RegSvcs.exe.
- Registre: stockage des plugins sous
HKCU\SOFTWARE\<CLIENT_ID>(données gzip, identifiées par SHA-256). - Clés/artefacts persistance: UserInitMprLogonScript, Run key, ResetConfig.xml.
- Config C2: AES avec clé par défaut
'<666666>'(v6.0). - Plugins:
Shell.dll,RemoteDesktop.dll,merged.dll,SystemCheck.Merged.dll,FileManager.dll,Ransomware.dll.
TTPs (techniques, tactiques, procédures):
- Dropper JavaScript et scripts PowerShell pour l’exécution initiale et AMSI bypass.
- Injection de processus dans des binaires légitimes (ex. RegSvcs.exe) et chargement in-memory de DLL.
- Persistance via Run keys, UserInitMprLogonScript et ResetConfig.xml (survie à factory reset).
- Stockage fileless des modules dans le Registre et communication C2 chiffrée AES (clé par défaut spécifique à v6).
- Ransomware intégré (AES-CBC, dérivation de clés SHA-512) et bypass Chrome v20 par DLL injection.
Conclusion: Il s’agit d’une publication de recherche de Trellix détaillant les campagnes actives XWorm v6, ses plugins clés, ses mécanismes d’infection/persistance et ses chevauchements de code avec NoCry, pour informer la communauté sur cette menace modulaire.
🔗 Source originale : https://www.trellix.com/blogs/research/xworm-v6-exploring-pivotal-plugins/