“XWorm กลับมาอีกครั้ง — มัลแวร์สายพันธุ์เก่าที่อัปเกรดใหม่ พร้อมฟีเจอร์โจมตีแบบครบเครื่อง”
หลังจากเงียบหายไปนานกว่า 1 ปี มัลแวร์ชื่อฉาวอย่าง XWorm ได้กลับมาอีกครั้งในเวอร์ชันใหม่ 6.0, 6.4 และ 6.5 โดยถูกพบว่ามีการใช้งานในหลายแคมเปญบน dark web โดยกลุ่มผู้โจมตีหลากหลายกลุ่ม ซึ่งเวอร์ชันใหม่นี้ถูกดูแลโดยผู้ใช้ชื่อ XCoderTools แทนที่ผู้พัฒนาเดิมที่เคยใช้ชื่อ XCoder
XWorm เป็นมัลแวร์แบบ backdoor ที่มีความสามารถหลากหลาย เช่น remote access trojan (RAT), ransomware, การขโมยข้อมูล, การจับภาพหน้าจอ, การบันทึกการพิมพ์ และการโจมตีแบบ DoS โดยมีระบบ plugin มากกว่า 35 ตัวที่สามารถปรับแต่งการทำงานให้เหมาะกับเป้าหมายแต่ละราย
เวอร์ชันใหม่ยังแก้ไขช่องโหว่ remote code execution (RCE) ที่เคยมีในเวอร์ชัน 5.6 และเปิดให้ผู้โจมตีซื้อใช้งานแบบ lifetime subscription ในราคา $500 โดยมีการโฆษณาผ่าน Telegram และ Signal แม้ช่องทางหลักจะถูกแบนไปแล้ว
นักวิจัยจาก Trellix พบว่ามีการเพิ่มขึ้นของตัวอย่าง XWorm บน VirusTotal และพบว่ามัลแวร์นี้มักแพร่กระจายผ่านอีเมล phishing และเว็บไซต์ปลอมที่หลอกให้ติดตั้งโปรแกรม เช่น ScreenConnect ปลอม
หนึ่งในเทคนิคใหม่ที่ใช้คือการส่งไฟล์ JavaScript ที่เรียกใช้ PowerShell เพื่อดาวน์โหลดไฟล์หลอกและตัว injector ซึ่งจะฝังโค้ดของ XWorm ลงในโปรแกรม Windows ที่ถูกต้อง เช่น RegSvcs.exe เพื่อหลบเลี่ยงการตรวจจับ
XWorm ยังมีระบบตรวจสอบสภาพแวดล้อม หากพบว่าอยู่ในเครื่องเสมือนหรือ sandbox จะหยุดการทำงานทันที เพื่อหลีกเลี่ยงการวิเคราะห์โดยนักวิจัยด้านความปลอดภัย
ข้อมูลสำคัญจากข่าว
XWorm กลับมาในเวอร์ชัน 6.0, 6.4 และ 6.5 หลังหายไปกว่า 1 ปี
ดูแลโดยผู้ใช้ชื่อ XCoderTools แทนผู้พัฒนาเดิม XCoder
มีฟีเจอร์ RAT, ransomware, ขโมยข้อมูล, จับภาพหน้าจอ, keylogger และ DoS
ใช้ระบบ plugin มากกว่า 35 ตัวเพื่อปรับแต่งการโจมตี
แก้ไขช่องโหว่ RCE ที่เคยมีในเวอร์ชัน 5.6
เปิดขายแบบ lifetime subscription ราคา $500
แพร่กระจายผ่าน phishing email และเว็บไซต์ปลอม
ใช้ไฟล์ JS เรียก PowerShell เพื่อฝังโค้ดในโปรแกรม Windows
ตรวจสอบสภาพแวดล้อมเพื่อหลบเลี่ยง sandbox และ VM
นักวิจัยพบตัวอย่างเพิ่มขึ้นบน VirusTotal
ข้อมูลเสริมจากภายนอก
XWorm ถูกพัฒนาในปี 2022 โดยกลุ่มที่ใช้ชื่อ EvilCoder
ใช้เทคนิค DLL injection และการหลอกลวงด้วยไฟล์ PDF ปลอม
มี plugin เช่น RemoteDesktop.dll, Shell.dll, Informations.dll
ใช้ encryption key “P0WER” ในการสื่อสารกับ C2 server
เวอร์ชัน 6.4 มีเทคนิคใหม่ในการ bypass ระบบความปลอดภัยของ Chrome
https://www.techradar.com/pro/security/this-infamous-ransomware-has-returned-and-its-more-dangerous-than-ever
หลังจากเงียบหายไปนานกว่า 1 ปี มัลแวร์ชื่อฉาวอย่าง XWorm ได้กลับมาอีกครั้งในเวอร์ชันใหม่ 6.0, 6.4 และ 6.5 โดยถูกพบว่ามีการใช้งานในหลายแคมเปญบน dark web โดยกลุ่มผู้โจมตีหลากหลายกลุ่ม ซึ่งเวอร์ชันใหม่นี้ถูกดูแลโดยผู้ใช้ชื่อ XCoderTools แทนที่ผู้พัฒนาเดิมที่เคยใช้ชื่อ XCoder
XWorm เป็นมัลแวร์แบบ backdoor ที่มีความสามารถหลากหลาย เช่น remote access trojan (RAT), ransomware, การขโมยข้อมูล, การจับภาพหน้าจอ, การบันทึกการพิมพ์ และการโจมตีแบบ DoS โดยมีระบบ plugin มากกว่า 35 ตัวที่สามารถปรับแต่งการทำงานให้เหมาะกับเป้าหมายแต่ละราย
เวอร์ชันใหม่ยังแก้ไขช่องโหว่ remote code execution (RCE) ที่เคยมีในเวอร์ชัน 5.6 และเปิดให้ผู้โจมตีซื้อใช้งานแบบ lifetime subscription ในราคา $500 โดยมีการโฆษณาผ่าน Telegram และ Signal แม้ช่องทางหลักจะถูกแบนไปแล้ว
นักวิจัยจาก Trellix พบว่ามีการเพิ่มขึ้นของตัวอย่าง XWorm บน VirusTotal และพบว่ามัลแวร์นี้มักแพร่กระจายผ่านอีเมล phishing และเว็บไซต์ปลอมที่หลอกให้ติดตั้งโปรแกรม เช่น ScreenConnect ปลอม
หนึ่งในเทคนิคใหม่ที่ใช้คือการส่งไฟล์ JavaScript ที่เรียกใช้ PowerShell เพื่อดาวน์โหลดไฟล์หลอกและตัว injector ซึ่งจะฝังโค้ดของ XWorm ลงในโปรแกรม Windows ที่ถูกต้อง เช่น RegSvcs.exe เพื่อหลบเลี่ยงการตรวจจับ
XWorm ยังมีระบบตรวจสอบสภาพแวดล้อม หากพบว่าอยู่ในเครื่องเสมือนหรือ sandbox จะหยุดการทำงานทันที เพื่อหลีกเลี่ยงการวิเคราะห์โดยนักวิจัยด้านความปลอดภัย
ข้อมูลสำคัญจากข่าว
XWorm กลับมาในเวอร์ชัน 6.0, 6.4 และ 6.5 หลังหายไปกว่า 1 ปี
ดูแลโดยผู้ใช้ชื่อ XCoderTools แทนผู้พัฒนาเดิม XCoder
มีฟีเจอร์ RAT, ransomware, ขโมยข้อมูล, จับภาพหน้าจอ, keylogger และ DoS
ใช้ระบบ plugin มากกว่า 35 ตัวเพื่อปรับแต่งการโจมตี
แก้ไขช่องโหว่ RCE ที่เคยมีในเวอร์ชัน 5.6
เปิดขายแบบ lifetime subscription ราคา $500
แพร่กระจายผ่าน phishing email และเว็บไซต์ปลอม
ใช้ไฟล์ JS เรียก PowerShell เพื่อฝังโค้ดในโปรแกรม Windows
ตรวจสอบสภาพแวดล้อมเพื่อหลบเลี่ยง sandbox และ VM
นักวิจัยพบตัวอย่างเพิ่มขึ้นบน VirusTotal
ข้อมูลเสริมจากภายนอก
XWorm ถูกพัฒนาในปี 2022 โดยกลุ่มที่ใช้ชื่อ EvilCoder
ใช้เทคนิค DLL injection และการหลอกลวงด้วยไฟล์ PDF ปลอม
มี plugin เช่น RemoteDesktop.dll, Shell.dll, Informations.dll
ใช้ encryption key “P0WER” ในการสื่อสารกับ C2 server
เวอร์ชัน 6.4 มีเทคนิคใหม่ในการ bypass ระบบความปลอดภัยของ Chrome
https://www.techradar.com/pro/security/this-infamous-ransomware-has-returned-and-its-more-dangerous-than-ever
🦠 “XWorm กลับมาอีกครั้ง — มัลแวร์สายพันธุ์เก่าที่อัปเกรดใหม่ พร้อมฟีเจอร์โจมตีแบบครบเครื่อง”
หลังจากเงียบหายไปนานกว่า 1 ปี มัลแวร์ชื่อฉาวอย่าง XWorm ได้กลับมาอีกครั้งในเวอร์ชันใหม่ 6.0, 6.4 และ 6.5 โดยถูกพบว่ามีการใช้งานในหลายแคมเปญบน dark web โดยกลุ่มผู้โจมตีหลากหลายกลุ่ม ซึ่งเวอร์ชันใหม่นี้ถูกดูแลโดยผู้ใช้ชื่อ XCoderTools แทนที่ผู้พัฒนาเดิมที่เคยใช้ชื่อ XCoder
XWorm เป็นมัลแวร์แบบ backdoor ที่มีความสามารถหลากหลาย เช่น remote access trojan (RAT), ransomware, การขโมยข้อมูล, การจับภาพหน้าจอ, การบันทึกการพิมพ์ และการโจมตีแบบ DoS โดยมีระบบ plugin มากกว่า 35 ตัวที่สามารถปรับแต่งการทำงานให้เหมาะกับเป้าหมายแต่ละราย
เวอร์ชันใหม่ยังแก้ไขช่องโหว่ remote code execution (RCE) ที่เคยมีในเวอร์ชัน 5.6 และเปิดให้ผู้โจมตีซื้อใช้งานแบบ lifetime subscription ในราคา $500 โดยมีการโฆษณาผ่าน Telegram และ Signal แม้ช่องทางหลักจะถูกแบนไปแล้ว
นักวิจัยจาก Trellix พบว่ามีการเพิ่มขึ้นของตัวอย่าง XWorm บน VirusTotal และพบว่ามัลแวร์นี้มักแพร่กระจายผ่านอีเมล phishing และเว็บไซต์ปลอมที่หลอกให้ติดตั้งโปรแกรม เช่น ScreenConnect ปลอม
หนึ่งในเทคนิคใหม่ที่ใช้คือการส่งไฟล์ JavaScript ที่เรียกใช้ PowerShell เพื่อดาวน์โหลดไฟล์หลอกและตัว injector ซึ่งจะฝังโค้ดของ XWorm ลงในโปรแกรม Windows ที่ถูกต้อง เช่น RegSvcs.exe เพื่อหลบเลี่ยงการตรวจจับ
XWorm ยังมีระบบตรวจสอบสภาพแวดล้อม หากพบว่าอยู่ในเครื่องเสมือนหรือ sandbox จะหยุดการทำงานทันที เพื่อหลีกเลี่ยงการวิเคราะห์โดยนักวิจัยด้านความปลอดภัย
✅ ข้อมูลสำคัญจากข่าว
➡️ XWorm กลับมาในเวอร์ชัน 6.0, 6.4 และ 6.5 หลังหายไปกว่า 1 ปี
➡️ ดูแลโดยผู้ใช้ชื่อ XCoderTools แทนผู้พัฒนาเดิม XCoder
➡️ มีฟีเจอร์ RAT, ransomware, ขโมยข้อมูล, จับภาพหน้าจอ, keylogger และ DoS
➡️ ใช้ระบบ plugin มากกว่า 35 ตัวเพื่อปรับแต่งการโจมตี
➡️ แก้ไขช่องโหว่ RCE ที่เคยมีในเวอร์ชัน 5.6
➡️ เปิดขายแบบ lifetime subscription ราคา $500
➡️ แพร่กระจายผ่าน phishing email และเว็บไซต์ปลอม
➡️ ใช้ไฟล์ JS เรียก PowerShell เพื่อฝังโค้ดในโปรแกรม Windows
➡️ ตรวจสอบสภาพแวดล้อมเพื่อหลบเลี่ยง sandbox และ VM
➡️ นักวิจัยพบตัวอย่างเพิ่มขึ้นบน VirusTotal
✅ ข้อมูลเสริมจากภายนอก
➡️ XWorm ถูกพัฒนาในปี 2022 โดยกลุ่มที่ใช้ชื่อ EvilCoder
➡️ ใช้เทคนิค DLL injection และการหลอกลวงด้วยไฟล์ PDF ปลอม
➡️ มี plugin เช่น RemoteDesktop.dll, Shell.dll, Informations.dll
➡️ ใช้ encryption key “P0WER” ในการสื่อสารกับ C2 server
➡️ เวอร์ชัน 6.4 มีเทคนิคใหม่ในการ bypass ระบบความปลอดภัยของ Chrome
https://www.techradar.com/pro/security/this-infamous-ransomware-has-returned-and-its-more-dangerous-than-ever
0 ความคิดเห็น
0 การแบ่งปัน
43 มุมมอง
0 รีวิว