自 XWorm 后门原开发者 XCoder 去年放弃该项目后，其新版本已通过钓鱼攻击传播。最新变体 XWorm 6.0、6.4 及 6.5 已被多个威胁者采用，且支持插件功能——这些插件可实现各类恶意操作，包括从浏览器与应用中窃取数据、通过远程桌面与 Shell 权限控制主机、对文件进行加解密等。

XCoder 开发的最后一个已知版本为 XWorm 5.6，该版本存在远程代码执行漏洞，而近期的新版本已修复此问题。

一、XWorm 核心特性：模块化架构成优势，传播覆盖多国家

XWorm 是 2022 年首次被发现的远程访问木马，凭借模块化设计与丰富功能，成为网络犯罪分子常用的高效恶意软件。

其典型恶意用途包括：

·收集敏感数据，如密码、加密货币钱包信息、财务数据；

·记录键盘输入、窃取剪贴板内容；

·发起分布式拒绝服务（DDoS）攻击、加载其他恶意软件。

在 XCoder 删除用于发布更新的 Telegram 账号后，多个威胁者开始传播该恶意软件的破解版本。

XWorm 的流行程度极高，甚至有威胁者将其作为 " 诱饵 "，针对技术水平较低的网络犯罪分子植入另一款数据窃取后门——该攻击事件最终导致 18459 台设备感染，受影响设备主要分布在俄罗斯、美国、印度、乌克兰与土耳其。

二、传播方式：多渠道进化，融合社会工程与技术手段

1. 地下市场流通与样本激增

黑客论坛上有一个名为 "XCoderTools" 的账号，已开始推广 XWorm 新版本，提供终身使用权限的订阅价格为 500 美元。目前尚不确定该账号是否为原开发者 XCoder，但账号声称新版本已修复 RCE 漏洞，并包含多项更新。

网络安全公司 Trellix 的研究人员发现，自今年 6 月起，VirusTotal 扫描平台上的 XWorm 样本数量显著增加，这一现象也表明该恶意软件在网络犯罪分子中的使用率正大幅上升。

2. 攻击链升级：不止于传统邮件钓鱼

在多起攻击事件中，XWorm 的传播途径呈现多样化特征：

·某钓鱼攻击通过恶意 JavaScript 脚本触发 PowerShell 脚本，绕过反恶意软件扫描接口（AMSI）防护后部署 XWorm；

·有攻击利用 AI 主题诱饵、经篡改的 ScreenConnect 远程访问工具传播；

·另有攻击将 shellcode 嵌入微软 Excel 文件（.XLAM），通过钓鱼邮件诱导打开以植入恶意软件。

XWorm 感染链

Trellix 在 9 月的报告中指出："XWorm 的感染链已实现进化，除传统邮件攻击外，还融入了更多技术手段。" 当前其初始入侵途径仍包括邮件与 .LNK 文件，但同时会使用 " 看似合法的 .exe 文件名 " 伪装成无害应用（如仿冒社交软件 Discord）。Trellix 表示：" 这标志着攻击者正转向‘社会工程学 + 技术攻击向量’的结合模式，以提升攻击成功率。"

三、插件功能：35+ 模块覆盖窃密到勒索，与 NoCry 勒索软件存在代码关联

据 Trellix 研究人员披露，XWorm 目前已拥有 35 个以上插件，功能覆盖从敏感信息窃取到勒索攻击的全场景。

1. 勒索模块（Ransomware.dll）：定制化加密，仿 NoCry 技术

XWorm 运营商发起勒索软件攻击

该模块具备文件加密功能，网络犯罪分子可通过它设置 " 加密后桌面壁纸 "" 赎金金额 "" 钱包地址 " 及 " 联系邮箱 "。

加密过程会避开系统文件与文件夹，专注加密 %USERPROFILE% 目录和 " 文档 " 目录下的数据，加密后会删除原始文件，并为锁定文件添加 .ENC 后缀。

受害者桌面会被植入一个 HTML 文件，内含解密指引，包括比特币（BTC）地址、联系邮箱与赎金金额。

XWorm 勒索软件模块加密

研究人员发现，XWorm 勒索模块与 2021 年首次发现的 .NET 架构 NoCry 勒索软件存在代码重叠——两者使用相同算法生成初始化向量（IV）与加解密密钥，且均采用 "AES-CBC 模式、4096 字节块 " 的加密流程，甚至对分析环境的验证逻辑也完全一致。

2. 其他 14 类核心插件功能

除勒索模块外，Trellix 还分析了 XWorm 的 14 类关键插件，功能可分为控制、窃密、系统探测三大类：

·远程控制类：

RemoteDesktop.dll：创建远程会话，实现对受害者设备的交互控制；

Shell.dll：在隐藏的 cmd.exe 进程中执行攻击者发送的系统命令；

FileManager.dll：为攻击者提供文件系统访问与操作权限。

·数据窃取类：

WindowsUpdate.dll、Stealer.dll、Recovery.dll 等：专门窃取受害者敏感数据；

Chromium.dll：针对 Chromium 内核浏览器窃取数据；

merged.dll、SystemCheck.Merged.dll：辅助完成数据窃取与系统检测。

·系统探测与通信类：

Informations.dll：收集受害者设备的系统信息；

Webcam.dll：录制受害者设备画面，同时用于验证设备是否为真实感染目标；

TCPConnections.dll/ActiveWindows.dll/StartupManager.dll：分别向命令与控制（C2）服务器发送 " 活跃 TCP 连接列表 "" 当前打开窗口列表 "" 开机启动程序列表 "。

研究人员强调，仅数据窃取类模块就可让攻击者从 35 种以上应用中窃取登录信息，涵盖网页浏览器、邮件客户端、即时通讯软件、FTP 客户端及加密货币钱包。

四、防御建议：多层防护应对模块化攻击

鉴于 XWorm 插件具备 " 功能专一、灵活组合 " 的特点，Trellix 建议企业采用多层防御策略，以便在感染后仍能对恶意行为进行拦截：

1. 部署端点检测与响应（EDR）解决方案，识别 XWorm 各模块的行为特征；

2. 启用邮件与网页前置防护，阻断恶意软件的初始传播载体（如钓鱼邮件、恶意链接）；

3. 部署网络监控工具，检测 XWorm 与 C2 服务器的通信（如下载插件、外传数据）。