Il panorama del malware si arricchisce di una nuova minaccia che dimostra come l'abbandono di un progetto da parte del suo creatore originale non ne decreti necessariamente la fine. XWorm, il trojan di accesso remoto che aveva guadagnato notorietà per la sua architettura modulare, sta vivendo una seconda vita nelle mani di cybercriminali che ne hanno sviluppato versioni non autorizzate. Dopo che XCoder, l'autore originale, ha cancellato i suoi account Telegram lo scorso anno e abbandonato il progetto, diversi gruppi criminali hanno iniziato a distribuire varianti modificate del malware, dimostrando quanto fosse apprezzato nell'underground digitale.
Un arsenale digitale in continua espansione
Le nuove incarnazioni di XWorm presentano caratteristiche che vanno ben oltre le capacità della versione 5.6, l'ultima rilasciata ufficialmente da XCoder. I ricercatori di Trellix hanno identificato le varianti 6.0, 6.4 e 6.5, che supportano ora oltre 35 plugin diversi, trasformando il malware in una vera e propria suite criminale multiuso. Tra le funzionalità più preoccupanti spicca un modulo ransomware denominato Ransomware.dll, che presenta sorprendenti somiglianze con il ransomware NoCry del 2021, utilizzando gli stessi algoritmi per generare vettori di inizializzazione e chiavi di crittografia.
Il processo di cifratura si concentra strategicamente sui dati personali dell'utente, evitando i file di sistema per non compromettere il funzionamento del computer. I file vengono crittografati con algoritmo AES in modalità CBC, elaborati in blocchi da 4096 byte, mentre l'originale viene cancellato e sostituito con una versione che porta l'estensione .ENC.
Tecniche di distribuzione sempre più sofisticate
L'evoluzione non riguarda solo le capacità del malware, ma anche i metodi di distribuzione. Se inizialmente XWorm si diffondeva principalmente attraverso campagne di phishing via email, oggi gli operatori criminali hanno ampliato significativamente il loro repertorio. I ricercatori documentano l'utilizzo di file JavaScript malevoli che avviano script PowerShell capaci di aggirare le protezioni Antimalware Scan Interface, mentre altre campagne sfruttano file eseguibili che si camuffano da applicazioni legittime come Discord.
Particolarmente insidioso è l'approccio che combina ingegneria sociale e vettori di attacco tecnici. Alcune campagne utilizzano esche a tema intelligenza artificiale, mentre altre sfruttano versioni modificate dello strumento di accesso remoto ScreenConnect. Non mancano tecniche più tradizionali ma efficaci, come l'incorporamento di shellcode in file Microsoft Excel con estensione .XLAM.
Un ecosistema criminale completo
L'analisi dei 14 plugin aggiuntivi rivela l'ambizione di trasformare XWorm in una piattaforma criminale onnicomprensiva. Il modulo RemoteDesktop.dll permette il controllo completo della macchina vittima, mentre una serie di componenti dedicati al furto di dati (Stealer.dll, Recovery.dll, Chromium.dll) possono sottrarre informazioni sensibili da oltre 35 browser web, client email, applicazioni di messaggistica, client FTP e portafogli di criptovalute.
La versatilità del malware emerge anche dalla presenza di moduli specializzati come Webcam.dll per la registrazione video, utilizzato dagli operatori anche per verificare l'autenticità delle macchine infette, e FileManager.dll che garantisce accesso completo al filesystem. Il plugin Shell.dll esegue comandi di sistema in processi cmd.exe nascosti, mentre altri componenti monitorano connessioni TCP attive, finestre aperte e programmi in avvio automatico.
La popolarità che diventa un'arma a doppio taglio
Il successo di XWorm nell'ambiente criminale è dimostrato da un episodio particolare: un cybercriminale ha utilizzato il malware stesso come esca per colpire colleghi meno esperti, distribuendo una versione backdoor che rubava i loro dati. Questa campagna ha registrato 18.459 infezioni, concentrate principalmente in Russia, Stati Uniti, India, Ucraina e Turchia, evidenziando sia la diffusione geografica sia l'attrattiva del malware anche tra i suoi stessi utilizzatori.
La correzione della vulnerabilità di esecuzione remota del codice presente nella versione 5.6 di XCoder dimostra come gli sviluppatori non autorizzati stiano effettivamente migliorando il prodotto originale. Questo fenomeno di "evoluzione distribuita" del malware rappresenta una sfida particolare per la cybersecurity, poiché moltiplica i punti di sviluppo e innovazione criminale.
Per contrastare questa minaccia multiforme, i ricercatori di Trellix raccomandano un approccio di difesa a più livelli, che includa soluzioni EDR per identificare i comportamenti dei moduli XWorm, protezioni proattive per email e web per bloccare i dropper iniziali, e sistemi di monitoraggio di rete per rilevare le comunicazioni con i server di comando e controllo utilizzati per scaricare plugin aggiuntivi o esfiltrarе dati.
