Обнаружена новая версия XWorm V6 — вредоносный код внедряется в системные процессы Windows

Cпециалисты из лаборатории Trellix ARC сообщили о новой версии вредоносного ПО XWorm V6.0, активно распространяемой через фишинговые кампании и заражённые скрипты. Этот вариант представляет собой развитие известного трояна, впервые зафиксированного в 2022 году.

XWorm отличается модульной архитектурой: базовый клиент запускает отдельные плагины, выполняющие конкретные задачи — от удалённого доступа и кражи учётных данных до шифрования файлов. В версии V6 разработчики изменили способ внедрения кода: теперь вредонос встраивается в легитимные процессы Windows, включая RegSvcs. exe, что делает его работу менее заметной для антивирусных систем.

По данным исследователей, заражение начинается с JavaScript-файла, который скачивает PowerShell-скрипт и отображает отвлекающий PDF-документ. Скрипт отключает встроенную систему безопасности AMSI, загружает основной клиент и DLL-инжектор, затем внедряет код в системные процессы.

Версия XWorm V6 подключается к удалённому серверу управления (94.159.113.64:4411) с использованием нового ключа шифрования «<666666>», заменившего прежний вариант «<123456789>» из версии 5.6. Модульная структура позволяет операторам загружать плагины через хэши SHA-256, а при их отсутствии — автоматически выгружать их с сервера.

Среди выявленных модулей — RemoteDesktop. dll, Stealer. dll, FileManager. dll, Shell. dll и Ransomware.dll. Последний отвечает за шифрование данных по алгоритму AES-CBC, формирует идентификаторы клиентов и оставляет текстовые файлы с требованием выкупа.

Исследователи отмечают, что XWorm использует четыре независимых метода закрепления в системе, включая запуск через сценарии входа, ключи реестра и автоматическое восстановление при сбросе настроек. Отдельные варианты трояна используют файлы VBS и WSF для постоянного присутствия на заражённом устройстве.

По информации Trellix, количество обнаружений XWorm V6 на платформе VirusTotal значительно увеличилось в сентябре и октябре 2025 года, что указывает на быстрое распространение кампании. Эксперты рекомендуют организациям использовать системы EDR и сетевой мониторинг для выявления несанкционированных подключений к управляющим серверам.

Источник: https://gbhackers.com