XWorm 6.0 è tornato al centro dell’attenzione nel panorama della sicurezza informatica grazie alle sue capacità avanzate di furto dati e a una struttura modulare che lo rende estremamente versatile. Questo malware, originariamente individuato nel 2022 e associato a un cybercriminale noto come EvilCoder, si è evoluto fino a diventare uno strumento completo per attività malevole su sistemi compromessi. La sua architettura ruota intorno a un client principale e a oltre 35 plugin specializzati, ognuno progettato per eseguire azioni dannose specifiche non appena il malware viene attivato.

La diffusione di XWorm avviene principalmente tramite campagne di phishing e siti web fraudolenti che propongono falsi installer di servizi legittimi come ScreenConnect. Oltre a questo, il suo sviluppo è stato seguito da figure come XCoder, che ha introdotto anche altri strumenti come builder malware basati su .NET e trojan di accesso remoto.

Negli anni, le catene di infezione di XWorm sono diventate sempre più sofisticate. Le recenti varianti utilizzano file LNK per eseguire comandi PowerShell che rilasciano file apparentemente innocui e payload camuffati da applicazioni legittime come Discord, che alla fine avviano il malware vero e proprio. XWorm integra tecniche di evasione e anti-analisi per identificare ambienti virtualizzati e interrompere l’esecuzione se rilevati, rendendo più difficile il lavoro degli analisti.

Gestione avanzata dei plugin

Uno degli aspetti più critici della versione 6.0 riguarda la gestione dei plugin: il malware può ricevere comandi da un server C2 (Command and Control) e caricare in memoria plugin DLL che consentono di rubare password, informazioni di sistema, credenziali di browser, eseguire comandi shell, manipolare file e persino attivare funzioni di ransomware grazie a moduli dedicati. Tra i plugin più pericolosi troviamo quelli per il furto credenziali, il controllo remoto del desktop, la modifica della configurazione di avvio e il deploy di rootkit.

Nonostante un periodo di incertezza dovuto alla scomparsa di XCoder dalla scena, XWorm è riapparso in vendita su forum underground, con la versione 6.0 rilasciata da un nuovo operatore per 500 dollari. Le campagne di distribuzione utilizzano file JavaScript dannosi che, una volta aperti, mostrano documenti PDF di copertura mentre in background viene eseguito il codice malevolo. XWorm 6.0 funge inoltre da veicolo per altri malware come DarkCloud Stealer, Coin Miner e vari stealer di credenziali.

L’evoluzione continua di XWorm e le sue capacità modulari dimostrano quanto sia fondamentale mantenere elevate le difese informatiche contro minacce sempre più avanzate e personalizzabili.