XWorm: Gelişen Siber Tehditler ve Modüler Yapısı
Son yıllarda siber güvenlik alanında yaşanan gelişmeler, kötü niyetli yazılımların evrim geçirmesine yol açmıştır. Bu bağlamda, XWorm olarak bilinen kötü amaçlı yazılım, siber suçluların en fazla kullandığı araçlardan biri haline gelmiştir. XWorm, 2022 yılında ortaya çıkmış ve EvilCoder adlı bir tehdit aktörü ile bağlantılı olarak geliştirilmiştir. Başlangıçta yalnızca temel bir zararlı yazılım olarak görülen XWorm, zamanla modüler bir yapıya dönüşerek daha karmaşık ve tehlikeli bir hale gelmiştir.
Modüler Tasarımı ve Elde Ettiği Yetenekler
XWorm‘un modüler tasarımı, ana bir istemci etrafında dönen ve çeşitli özel bileşenler olan pluginler ile şekillenir. Bu pluginler, ana zararlı yazılım aktif hale geldiğinde belirli zararlı eylemleri gerçekleştirmek için tasarlanmış ek yüklerdir. XWorm, veri hırsızlığı, tuş kaydı, ekran görüntüsü alma, kalıcılık sağlama ve hatta fidye yazılımı operasyonları gibi geniş bir yelpazede kötü niyetli eylemleri desteklemektedir. Bu özellikleri onu, siber suçlular için bir İsviçre çakı gibi kullanışlı hale getirmiştir.
Siber güvenlik araştırmacılarının yaptığı analizlerde, XWorm‘un en sık phishing e-postaları ve sahte web siteleri aracılığıyla yayıldığı tespit edilmiştir. Özellikle sahte ScreenConnect kurulum dosyaları, kötü amaçlı yazılımın dağıtımında önemli bir rol oynamaktadır.
Kötü Amaçlı Yazılımın Yayılması ve İçin Geliştirilen Araçlar
XWorm ile birlikte geliştirici tarafından tanıtılan diğer araçlar arasında bir .NET tabanlı kötü amaçlı yazılım yapıcı, uzaktan erişim trojanı XBinder, ve Windows sistemlerinde Kullanıcı Hesabı Kontrolü (UAC) kısıtlamalarını bypass eden bir program yer almaktadır. Bu bağlamda, XCoder adında çevrimiçi bir kişilik, XWorm’un gelişiminde lider konumundadır.
Geçtiğimiz aylarda yayımlanan bir raporda, XWorm enfeksiyon zincirlerinin değiştiği ve bu zincirlerin Windows kısayol (LNK) dosyaları kullanılarak phishing e-postaları aracılığıyla dağıtıldığı belirtilmiştir. Bu süreçte, PowerShell komutları kullanılarak zararsız bir TXT dosyası ve Discord adı altında aldatıcı bir yürütülebilir dosyanın bırakıldığı tespit edilmiştir.
Anti-Analiz ve Evasion Mekanizmaları
XWorm, çeşitli anti-analiz ve anti-evasion mekanizmaları ile donatılmıştır. Kötü amaçlı yazılım, sanal bir ortamda çalışıp çalışmadığını tespit etmek için belirli işaretler arar ve eğer bu tür bir ortam tespit edilirse, hemen çalışmasını durdurur. Modüler yapısı sayesinde, dış bir sunucudan çeşitli komutlar alarak sistemi kapatma, yeniden başlatma, dosya indirme ve URL açma gibi işlemleri gerçekleştirebilir.
XWorm’un Geçirdiği Dönüm Noktaları
Geçtiğimiz yıl içinde XWorm operasyonları, XCoder’ın Telegram hesabını aniden silmesiyle büyük bir darbe aldı. Bu olay, XWorm‘un geleceği hakkında soru işaretleri oluşturdu. Fakat sonrasında, kötü niyetli aktörlerin, zararlı yazılımı içeren bir cracked XWorm sürümünü dağıttığı gözlemlenmiştir. Bu versiyon, diğer siber suçluların zararlı yazılımı indirmesine sebep olmuştur.
Ayrıca, bilinmeyen bir tehdit aktörünün, script kiddie’leri GitHub depoları ve Telegram gibi platformlar üzerinden trojanlu bir XWorm RAT yapıcısını indirip yüklemeye ikna etmeye çalıştığı tespit edilmiştir. Bu girişim, dünya çapında 18,459 cihazın kıymetini tehlikeye atmıştır.
Yeni XWorm Sürümleri ve İşlevsellikleri
XWorm’un içinde bulunduğu durumu irdeleyen Trellix, XWorm 6.0 adında yeni bir versiyonun siber suç forumlarında 4 Haziran 2025’te $500 karşılığında satıldığını bildirmiştir. Bu yeni sürüm, daha önceki RCE açıktan dolayı düzeltmeler içermekte olup, kötü amaçlı kodların daha da genişlemesine olanak tanımaktadır.
Bu yeni versiyon, phishing e-postaları aracılığıyla bulaşmakta ve PowerShell kodu çalıştırarak cihazlara sızmaktadır. Bunun sonucunda, kullanıcıların dikkatini çekmeden çalışabilir. XWorm 6.0, kötü niyetli bir sunucuya bağlanarak çok sayıda DLL yüklemesi yapabilir.
Yapılan analizlerde, XWorm’un özelleştirilebilir pluginleri ve yetenekleri, siber suçluların işlerini kolaylaştırmakta ve onlara daha ileri seviye saldırılar gerçekleştirme imkanı sunmaktadır. Örneğin, uzaktan masaüstü erişimi sağlayan pluginler ya da veri hırsızlığı amaçlı geliştirilmiş araçlar, XWorm’un siber tehditler arasında nasıl bir korku kaynağı haline geldiğini göstermektedir.
Bu gelişmeler ışığında, her geçen gün siber güvenlik önlemlerinin güçlendirilmesi ve kötü amaçlı yazılımlara karşı daha etkili stratejilerin geliştirilmesi gerekliliği açıkça ortaya çıkmaktadır. XWorm, sadece bir yazılım olmanın ötesinde, siber savaşın bir parçası olarak karşımıza çıkmakta ve tehdit algısını sürekli güncellemektedir.
