XWorm: Artık Daha Tehlikeli
Son dönemde siber güvenlik alanında dikkat çeken bir gelişme, XWorm arka kapı yazılımının yeni versiyonlarının phishing (oltalama) kampanyaları ile dağıtılmasıdır. Original geliştiricisi XCoder, projeyi geçen yıl terk ettiğinde, birçok kötü niyetli oyuncu, XWorm’un yeni sürümlerini ele geçirerek kendi amaçları doğrultusunda kullanmaya başladı. Bu yeni sürümler arasında XWorm 6.0, 6.4 ve 6.5 bulunmaktadır.
Gelişmiş Yetkinlikler
XWorm, bir uzaktan erişim trojanı olarak tanımlanır ve ilk olarak 2022 yılında kullanıma sunulmuştur. Modüler bir mimariye sahip olan bu kötü amaçlı yazılım, geniş bir yelpazede kötü faaliyetler gerçekleştirebilen eklentilere sahiptir. Veri çalma, uzaktan masaüstü erişimi sağlayarak hostu kontrol etme, dosyaları şifreleme veya şifre çözme gibi birçok işlevi bulunmaktadır.
XCoder tarafından geliştirilen son bilinen versiyon 5.6, uzaktan kod yürütme zaafiyeti taşımaktaydı. Bu durum, yeni sürümlerde ele alınmıştır. XWorm, kullanıcıların şifrelerini, kripto cüzdanlarını ve finans bilgilerini toplamada yüksek etkililiğe sahip olması nedeniyle popülerlik kazanmıştır. Ayrıca, birçok kötü niyetli aktör, deneyimsiz siber suçluları hedef alarak bu yazılımı kendilerine çekerken, toplamda 18,459 enfeksiyon rapor edilmiştir; bu vakaların büyük kısmı Rusya, ABD, Hindistan, Ukrayna ve Türkiye‘de gerçekleşmiştir.
Dağıtım Yöntemleri
XWorm’un yayılma hızı, 2022 yılında siber güvenlik araştırmacıları tarafından düzenli olarak takip edilmektedir. Trellix adlı siber güvenlik firması, yazılımın VirusTotal tarama platformunda daha fazla örneğinin raporlandığını belirtmiştir. Özellikle, bir phishing kampanyası sırasında kötü niyetli bir JavaScript kullanılmış ve bu, PowerShell script’ini başlatarak XWorm’u dağıtmıştır.
XWorm’un enfeksiyon zincirinin, geleneksel e-posta tabanlı saldırıların ötesine geçtiği de gözlemlenmiştir. E-posta ve .LNK dosyaları, hala yaygın birer başlangıç vektörü olmasına rağmen, XWorm, Discord gibi zararsız uygulamalar gibi görünmekte olan dosya isimleri kullanarak kendini gizlemiştir.
Ransomware Tehdidi
XWorm, 35’ten fazla eklentiye sahip olup, bu eklentiler, veri çalmaktan ransomware (fidye yazılımı) işlevlerine kadar çeşitli işlevsellikler sunmaktadır. Ransomware.dll eklentisi, verileri şifreledikten sonra kullanıcının masaüstünde bir arka plan resmi ayarlamakta, fidye miktarını, cüzdan adresini ve iletişim e-posta adresini göstermektedir.
Etkilenen kullanıcılar, şifrelerinin çözülmesine dair talimatlar içeren bir HTML dosyası ile karşılaşmaktadır. Dosyalar şifrelendikten sonra, orijinal dosya silinmekte ve locked.data uzantısı eklenmektedir.
Güvenlik Önlemleri
Trellix’in yaptığı araştırmalar, XWorm ransomware modülünün, 2021 yılında tespit edilen .NET tabanlı NoCry ransomware ile aynı kod parçalarının paylaşımına sahip olduğunu ortaya koymuştur. Her iki kötü amaçlı yazılım, aynı algoritmayı kullanarak şifreleme işlemini gerçekleştirmekte ve analiz ortamlarında aynı kontrolleri sağlamaktadır.
XWorm’un birçok veri çalma modülü, çeşitli uygulamalardan kullanıcı giriş bilgilerini çalmaya yaramaktadır. Daha fazla güvenlik sağlamak için Trellix, organizasyonların çok katmanlı bir savunma yaklaşımı benimsemesini önermektedir.
Yerel algılama ve müdahale (EDR) çözümleri, XWorm eklentilerinin davranışını belirleyebilirken, proaktif e-posta ve web koruma önlemleri, ilk kötü amaçlı yazılım yükleyicilerini engelleyebilir. Ayrıca, bir ağ izleme çözümü, komut ve kontrol sunucusu ile iletişimi tespit edebilir ve kötü niyetli etkinliklerin saptanmasına yardımcı olabilir.
Sonuç Olarak
XWorm’un geliştirilmiş versiyonları, sadece bireysel kullanıcılar için değil, aynı zamanda kurumsal ortamlar için de ciddi bir tehdit oluşturmaktadır. Yeni dağıtım yöntemleri ve modüler yapısı, bu kötü amaçlı yazılımı daha da tehlikeli hale getirmektedir. Siber güvenlik önlemlerinin güçlendirilmesi, XWorm’un etkisini azaltmak için kritik bir gereklilik olarak ortaya çıkmaktadır.
