XWorm

Selon des chercheurs de Trellix, de nouvelles versions du backdoor XWorm sont distribuées via des campagnes de phishing, alors que le développeur original, XCoder, a abandonné le projet l’an dernier. Le malware intègre désormais plus de 35 plugins qui étendent ses capacités, allant du vol d’informations sensibles jusqu’au chiffrement de fichiers (ransomware). 🧩 La fonctionnalité de chiffrement, fournie via Ransomware.dll, permet aux opérateurs de: définir un papier peint de bureau après le verrouillage des données, fixer le montant de la rançon, renseigner une adresse de portefeuille (wallet), indiquer un email de contact. 🔐 TTPs observés: ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Source : Trellix — Dans un billet de recherche, l’éditeur analyse l’évolution d’XWorm vers des tactiques plus trompeuses et une chaîne d’infection en plusieurs étapes, aujourd’hui largement observées en environnement d’entreprise. L’infection débute via un fichier .lnk qui exécute des commandes PowerShell afin de télécharger discord.exe, lequel dépose ensuite main.exe et system32.exe. Les exécutables sont déguisés avec des noms et des icônes légitimes pour tromper l’utilisateur. Le malware intègre des techniques anti‑analyse avancées : création de mutex (1JJyHGXN8Jb9yEZG), détection d’environnements virtualisés et auto‑termination. Il met en place une persistance via tâches planifiées et modifications de registre. ...

Cet article de recherche publié par l’équipe de recherche sur les menaces de Splunk explore les tactiques d’évasion et l’évolution du malware XWorm, un cheval de Troie d’accès à distance (RAT) utilisé par des cybercriminels. XWorm est connu pour sa capacité à enregistrer les frappes clavier, accéder à distance à un bureau, exfiltrer des données et exécuter des commandes. Il est souvent utilisé par des acteurs malveillants ciblant les chaînes d’approvisionnement logicielles et l’industrie du jeu vidéo. Une campagne notable a vu XWorm utilisé en tandem avec AsyncRAT pour déployer des charges utiles de ransomware LockBit Black. ...