Selon des chercheurs de Trellix, de nouvelles versions du backdoor XWorm sont distribuées via des campagnes de phishing, alors que le développeur original, XCoder, a abandonné le projet l’an dernier.
Le malware intègre désormais plus de 35 plugins qui étendent ses capacités, allant du vol d’informations sensibles jusqu’au chiffrement de fichiers (ransomware). 🧩
La fonctionnalité de chiffrement, fournie via Ransomware.dll, permet aux opérateurs de:
- définir un papier peint de bureau après le verrouillage des données,
- fixer le montant de la rançon,
- renseigner une adresse de portefeuille (wallet),
- indiquer un email de contact. 🔐
TTPs observés:
- Distribution via campagnes de phishing;
- Architecture modulaire via plugins;
- Activation d’un module ransomware configurable.
Type d’article: publication de recherche; objectif principal: décrire la diffusion actuelle de XWorm et détailler ses capacités.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/xworm-malware-resurfaces-with-ransomware-module-over-35-plugins/