XWorm 6.0: Neue Bedrohung mit erweiterten Datenklau-Fähigkeiten

LONDON (IT BOLTWISE) – Die Rückkehr von XWorm 6.0 sorgt für Aufsehen in der Cybersecurity-Welt. Mit über 35 Plugins und erweiterten Datenklau-Fähigkeiten stellt die Malware eine ernstzunehmende Bedrohung dar. Experten betonen die Notwendigkeit robuster Sicherheitsmaßnahmen, um dieser dynamischen Bedrohung zu begegnen.

Die neueste Version der XWorm-Malware, bekannt als XWorm 6.0, hat in der Cybersecurity-Community für Aufsehen gesorgt. Diese Malware, die ursprünglich 2022 von einem Bedrohungsakteur namens EvilCoder entwickelt wurde, hat sich zu einem vielseitigen Werkzeug für eine Vielzahl bösartiger Aktivitäten auf kompromittierten Hosts entwickelt. Die modulare Architektur von XWorm basiert auf einem Kernclient und einer Vielzahl spezialisierter Komponenten, die als Plugins bekannt sind. Diese Plugins sind zusätzliche Nutzlasten, die spezifische schädliche Aktionen ausführen, sobald die Kern-Malware aktiv ist.

XWorm wird hauptsächlich über Phishing-E-Mails und gefälschte Websites verbreitet, die bösartige ScreenConnect-Installer bewerben. Zu den weiteren vom Entwickler beworbenen Tools gehören ein .NET-basierter Malware-Builder, ein Remote-Access-Trojaner namens XBinder und ein Programm, das die Benutzerkontensteuerung (UAC) auf Windows-Systemen umgehen kann. Die Entwicklung von XWorm wurde in den letzten Jahren von einer Online-Persona namens XCoder geleitet.

Ein kürzlich veröffentlichter Bericht beschreibt die sich ändernden Infektionsketten von XWorm, die Windows-Verknüpfungsdateien (LNK) verwenden, um PowerShell-Befehle auszuführen, die eine harmlose TXT-Datei und eine trügerische ausführbare Datei, die sich als Discord tarnt, ablegen, die letztendlich die Malware startet. XWorm enthält verschiedene Anti-Analyse- und Anti-Evasion-Mechanismen, um Anzeichen einer virtualisierten Umgebung zu erkennen und in einem solchen Fall die Ausführung sofort zu beenden.

Die Modularität der Malware ermöglicht es, verschiedene Befehle von einem externen Server auszuführen, um Aktionen wie das Herunterfahren oder Neustarten des Systems, das Herunterladen von Dateien, das Öffnen von URLs und das Initiieren von DDoS-Angriffen durchzuführen. Die schnelle Entwicklung von XWorm innerhalb der Bedrohungslandschaft und seine aktuelle Verbreitung unterstreichen die kritische Bedeutung robuster Sicherheitsmaßnahmen zur Bekämpfung sich ständig ändernder Bedrohungen.

Die Operationen von XWorm haben im vergangenen Jahr auch Rückschläge erlebt, wobei der wichtigste XCoders Entscheidung war, sein Telegram-Konto abrupt zu löschen, was die Zukunft des Tools in der Schwebe ließ. Seitdem wurden jedoch Bedrohungsakteure beobachtet, die eine geknackte Version von XWorm Version 5.6 verbreiteten, die Malware enthielt, um andere Bedrohungsakteure zu infizieren, die sie möglicherweise herunterladen.

Diese Aktivitäten wurden durch Angreifer ergänzt, die modifizierte Versionen von XWorm verbreiten – darunter eine chinesische Variante mit dem Codenamen XSPY – sowie die Entdeckung einer Remote-Code-Ausführungs-Schwachstelle (RCE) in der Malware, die es Angreifern mit dem Command-and-Control (C2)-Verschlüsselungsschlüssel ermöglicht, beliebigen Code auszuführen.

Obwohl die offensichtliche Aufgabe von XWorm durch XCoder die Möglichkeit aufwarf, dass das Projekt „endgültig geschlossen“ wurde, wurde ein Bedrohungsakteur namens XCoderTools entdeckt, der XWorm 6.0 in Cybercrime-Foren am 4. Juni 2025 für 500 US-Dollar für lebenslangen Zugang anbot und es als „vollständig neu codierte“ Version mit einer Behebung des zuvor genannten RCE-Fehlers beschrieb. Es ist derzeit nicht bekannt, ob die neueste Version das Werk desselben Entwicklers oder jemandes ist, der auf den Ruf der Malware setzt.

Kampagnen, die XWorm 6.0 in freier Wildbahn verbreiten, haben bösartige JavaScript-Dateien in Phishing-E-Mails verwendet, die beim Öffnen ein Ablenkungs-PDF-Dokument anzeigen, während im Hintergrund PowerShell-Code ausgeführt wird, um die Malware in einen legitimen Windows-Prozess wie RegSvcs.exe zu injizieren, ohne Aufmerksamkeit zu erregen.

XWorm V6.0 ist so konzipiert, dass es sich mit seinem C2-Server bei 94.159.113[.]64 auf Port 4411 verbindet und einen Befehl namens „plugin“ unterstützt, um mehr als 35 DLL-Nutzlasten im Speicher des infizierten Hosts auszuführen und verschiedene Aufgaben durchzuführen. Wenn der C2-Server den Befehl „plugin“ sendet, enthält er den SHA-256-Hash der Plugin-DLL-Datei und die Argumente für deren Aufruf. Der Client verwendet dann den Hash, um zu überprüfen, ob das Plugin bereits empfangen wurde. Wenn der Schlüssel nicht gefunden wird, sendet der Client einen „sendplugin“-Befehl an den C2-Server zusammen mit dem Hash.

Der C2-Server antwortet dann mit dem Befehl „savePlugin“ zusammen mit einem Base64-codierten String, der das Plugin und den SHA-256-Hash enthält. Nach dem Empfang und der Dekodierung des Plugins lädt der Client das Plugin in den Speicher. Einige der unterstützten Plugins in XWorm 6.x (6.0, 6.4 und 6.5) sind RemoteDesktop.dll, um eine Remote-Sitzung zur Interaktion mit dem Rechner des Opfers zu erstellen, WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll und SystemCheck.Merged.dll, um die Daten des Opfers zu stehlen, wie Windows-Produktschlüssel, WLAN-Passwörter und gespeicherte Anmeldedaten von Webbrowsern (unter Umgehung der app-gebundenen Verschlüsselung von Chrome) und anderen Anwendungen wie FileZilla, Discord, Telegram und MetaMask.

Die XWorm 6.0-Infektionen haben neben dem Abwurf benutzerdefinierter Tools auch als Kanal für andere Malware-Familien wie DarkCloud Stealer, Hworm (VBS-basierter RAT), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer (Open-Source-Rust-Stealer), Phantom Stealer, Phemedrone Stealer und Remcos RAT gedient. Eine weitere Untersuchung der DLL-Datei ergab mehrere XWorm V6.0-Builder auf VirusTotal, die selbst mit XWorm-Malware infiziert sind, was darauf hindeutet, dass ein XWorm-RAT-Betreiber von XWorm-Malware kompromittiert wurde.

Die unerwartete Rückkehr von XWorm V6, ausgestattet mit einer vielseitigen Reihe von Plugins für alles von Keylogging und Anmeldedaten-Diebstahl bis hin zu Ransomware, dient als kraftvolle Erinnerung daran, dass keine Malware-Bedrohung jemals wirklich verschwunden ist.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player

30,50 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer

20,99 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku

36,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

169,00 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!