XWorm RAT

Fiche d'évaluation menace

Popularity Rank: 5,273
Niveau de menace: 80 % (Haute)
Ordinateurs infectés : 381
Vu la première fois: April 24, 2023
Vu pour la dernière fois : June 30, 2026
Systèmes d'exploitation concernés: Windows

Le malware XWorm est identifié comme une menace de la catégorie des chevaux de Troie d'accès à distance (RAT). Les RAT sont spécifiquement conçus pour permettre l'accès non autorisé et le contrôle de l'ordinateur d'une victime par des cybercriminels. Avec l'utilisation des RAT, les attaquants peuvent surveiller et observer à distance les activités des utilisateurs, voler des données sensibles et exécuter un large éventail d'opérations malveillantes sur le système compromis, en fonction de leurs objectifs spécifiques. Selon les chercheurs, le XWorm RAT est proposé à la vente par ses développeurs au prix de 400 $.

Le XWorm RAT peut voler un large éventail d'informations sensibles

XWorm RAT possède un large éventail de fonctionnalités qui en font une menace hautement sophistiquée et dangereuse aux mains des cybercriminels. L'une de ses principales fonctionnalités est la capacité de voler furtivement des informations système précieuses sur l'ordinateur de la victime. Le RAT peut voler des données sensibles des navigateurs populaires. XWorm peut extraire les mots de passe, les cookies, les détails de la carte de crédit, les signets, les téléchargements, les mots-clés et l'historique de navigation des navigateurs Chromium. De même, il peut dérober les mots de passe, les cookies, les signets et l'historique des navigateurs Firefox, compromettant considérablement la sécurité des activités en ligne de la victime.

De plus, les capacités de XWorm englobent le ciblage d'une variété d'applications et de services. Il peut voler les données de session Telegram, les jetons Discord, les mots de passe WiFi, les données Metamask et FileZilla. De plus, XWorm peut accéder à l'éditeur de registre, enregistrer les frappes au clavier, exécuter un rançongiciel pour chiffrer les fichiers et demander une rançon, et manipuler les données, les services et les processus du presse-papiers.

Au-delà du vol d'informations, XWorm a la capacité d'exécuter des fichiers, donnant aux attaquants le pouvoir d'exécuter divers programmes malveillants et charges utiles sur le système compromis. De plus, le cheval de Troie peut obtenir un accès non autorisé à la webcam et au microphone de la victime, ce qui constitue une atteinte importante à la vie privée et permet aux attaquants de surveiller les activités de la victime. La portée de XWorm s'étend encore plus loin car il peut ouvrir des URL, exécuter des commandes shell et gérer des fichiers, donnant ainsi aux attaquants un contrôle total sur l'ordinateur de la victime.

Les attaquants peuvent même utiliser XWorm pour activer ou désactiver les composants et fonctionnalités critiques du système tels que le contrôle de compte d'utilisateur (UAC), l'éditeur de registre, le gestionnaire de tâches, le pare-feu et les mises à jour du système. La possibilité d'invoquer l'écran bleu de la mort (BSoD) ajoute une autre couche de perturbation et de dommages potentiels au système de la victime.

Le XWorm RAT pourrait être utilisé pour fournir des charges utiles de ransomware sur les appareils piratés

Une capacité importante de XWorm est sa capacité à mener des attaques de ransomware. Les ransomwares menacent les logiciels qui cryptent les fichiers, les rendant inaccessibles sans clé de décryptage spécifique. Par la suite, les opérateurs de XWorm peuvent exiger un paiement de la victime en échange de la fourniture du logiciel de décryptage nécessaire pour retrouver l'accès aux fichiers cryptés.

En outre, XWorm a été observé en train d'être utilisé par des cybercriminels pour le détournement de presse-papiers. Cette technique implique la surveillance des logiciels malveillants et l'interception des données copiées dans le presse-papiers d'une victime, avec un accent particulier sur le remplacement des adresses de portefeuille de crypto-monnaie. Par exemple, si une victime copie une adresse de portefeuille Bitcoin, Ethereum ou autre crypto-monnaie, XWorm détecte les données et les remplace par une adresse de portefeuille appartenant aux cybercriminels. Par conséquent, les victimes envoient involontairement leurs fonds dans le portefeuille des pirates au lieu de l'adresse du destinataire prévu.

La vaste gamme de capacités malveillantes observées dans le XWorm RAT comprend également une fonctionnalité d'enregistrement de frappe. L'enregistrement de frappe implique le processus nuisible de capture et d'enregistrement clandestins de toutes les entrées au clavier effectuées par un utilisateur sur un système infecté. Cela signifie que les mots de passe, les identifiants de connexion, les messages sensibles et d'autres informations personnelles sont subrepticement enregistrés et transmis au serveur de commande et de contrôle de l'attaquant.

Bulletin d'analyse

Informations générales

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Taille du fichier: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Taille du fichier: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Taille du fichier: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Taille du fichier: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Taille du fichier: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Taille du fichier: 265.73 KB, 265728 bytes
MD5: 65d0a7755d74384f5055dd3b6af0cc4d
SHA1: 4c5fc802b2fd21968cd23e8ccf670f047b2d886e
SHA256: 6CCF676F2A8A079838085894C8039408F5E463663AD880A64EEB933A7C927449
Taille du fichier: 11.78 KB, 11776 bytes
MD5: 60631806cffc9ef3b048d4d52b06fdb5
SHA1: ab2f4dddb861207328134ed450c90def1b15f638
SHA256: 0957B6708D693848F3C9D4544DE95E044BE691670E83B199157CA87A398BEC49
Taille du fichier: 40.96 KB, 40960 bytes
MD5: 7800b8cc29632ba356e56836453e84fa
SHA1: 6b6daa1115657576393bb302ad0abd590f9d7549
SHA256: 51AA320823FE8A588EF618EECE24DC71F7DAE3B4B8A88E5E6C69F2BEA09CAD88
Taille du fichier: 2.91 MB, 2908304 bytes
MD5: 8517680e669d6b3d634a7592f0af9ff4
SHA1: b5440419d839306a35cadb26e4f1ea6e243da7f9
SHA256: BF5AF9EABEFC1DD3B0BB139A53A41D3AF91B9360B889B214B0AB6726F17715BE
Taille du fichier: 60.42 KB, 60416 bytes
MD5: 6352569fc1f1e4763650ec5b7b3371ff
SHA1: 7fef3755e9f9293c1c879cb2408ac8877cda7ebd
SHA256: 9FE455BB5A6A8AD1A3D242A1B42AECA53AAEF42EB76D25C2B89EC386AA2F58B6
Taille du fichier: 1.44 MB, 1436545 bytes
MD5: 1aed592e6a6f6747104f8f2dfdc48100
SHA1: e80d90230e3bfa7c1ed032677e5ac137830723d6
SHA256: F51099D99ECFA83E2A68D4C68A6E661262E31A77E79FF0C5FD94A34274854811
Taille du fichier: 1.24 MB, 1244672 bytes
MD5: bdabe0c54c8dde931a5e08785b3d258f
SHA1: 004fe676d3fe98633c5cc4a12668a554a4f316b0
SHA256: 164C40A7FFCA142D79063ADE7BA99D095C52864B08ED645EC34C7A94D1C533CB
Taille du fichier: 2.07 MB, 2067456 bytes
MD5: b1a07aae097a8481ee3c61392ac8bce1
SHA1: f3361d200b7469bcd5082e3f0c71c51a6fb44273
SHA256: 9A96C4B45886B226F9AD3D28CADBE6599FE34121629FCE3B5EE686130D21F3F0
Taille du fichier: 2.71 MB, 2706944 bytes
MD5: 09fc5f8cc8c466649bc5c88e4f204d05
SHA1: 745a6634ca8c388474200d4fda85499ea39f5b7c
SHA256: FBAD81087F35385A796EF26797795577D592DA66CAB5289B8B2C4537EA31A96A
Taille du fichier: 36.35 KB, 36352 bytes
MD5: 346bbb4260171d4488640eaa17a42d69
SHA1: 165553fcb9f8c39dd9308f0c84928443f006610a
SHA256: 239D0B10CE29C48B45F0442F567ADDE9E8CFA24A9C60D35ABC58CE769105420B
Taille du fichier: 2.76 MB, 2755072 bytes
MD5: 16fa945e7f8916993e14899fc15bc570
SHA1: 8d0e181866a6e46e60de1c525bcb6cf37606fc90
SHA256: E0C76CA4188CF9E26F2A78DB82E04098FD8E309204F0246884686C4FDF5A9758
Taille du fichier: 1.44 MB, 1441072 bytes
MD5: db3012484135ac6e57c403cd5a313628
SHA1: bf9b59bc375f0ede4b455a4d6e9936cdeedca7e1
SHA256: D27F7276688B977FB87710FB293C4D2BFE3C85BA2AF93E8C33AFF4A446D0F0A0
Taille du fichier: 2.83 MB, 2826240 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have relocations information
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
Show More
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Nom Évaluer
Assembly Version
  • 5.2.6.3
  • 2.0.2.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Comments
  • Akasia Punto de Venta KeyGeN - By KarMaSOFT
  • Auto train Khan Online
  • http://www.captainsim.com
Company Name
  • Akasia Punto de Venta KeyGeN - By KarMaSOFT
  • ARICENT Technologies (Holdings) Ltd
  • Captain Sim
  • Kteam Auto
  • Microsoft
  • Synaptics
  • www.UnlockClient.co
File Description
  • 757 Aircraft Configuration Editor
  • Akasia Punto de Venta KeyGeN - By KarMaSOFT
  • aSc Converter to Excel
  • dSoft
  • Kteam Auto
  • PC Service Tool
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
File Version
  • 5.2.6.3
  • 1.9.9.3
  • 1.00
  • 1.0.0.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Internal Name
  • ace_757.exe
  • Akasia Punto de Venta KeyGeN - By KarMaSOFT.exe
  • AscToExcel.exe
  • construsonhos.cloud3.exe
  • dSoft.exe
  • KteamAuto.exe
  • License Editor.exe
  • NMHG PC Service Tool.exe
  • Quantis.exe
  • ratbox5304.exe
Show More
  • SearchSystem.exe
  • TJprojMain
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
  • Update.exe
  • Win
Legal Copyright
  • Copyrights (C) 2017 Captain Sim
  • Copyright © 2020
  • Copyright © 2021
  • Copyright © 2023
  • Copyright © 2024
  • Copyright ©NMHG 2007
  • TechSpot.id
  • www.UnlockClient.co
Legal Trademarks Trademarks (R) 2017 Captain Sim
Original Filename
  • ace_757.exe
  • Akasia Punto de Venta KeyGeN - By KarMaSOFT.exe
  • AscToExcel.exe
  • construsonhos.cloud3.exe
  • dSoft.exe
  • KteamAuto.exe
  • License Editor.exe
  • NMHG PC Service Tool.exe
  • Quantis.exe
  • ratbox5304.exe
Show More
  • SearchSystem.exe
  • TJprojMain.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
  • Update.exe
  • Win.exe
Product Name
  • 757 Captain III
  • Akasia Punto de Venta KeyGeN - By KarMaSOFT
  • aSc Converter to Excel
  • dSoft
  • KteamAuto
  • PC Service Tool
  • Project1
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
Show More
  • Update
  • Win
Product Version
  • 5.2.6.3
  • 1.9.9.3
  • 1.00
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0

Digital Signatures

Signer Root Status
UnlockClient.co UnlockClient.co Self Signed

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 24
Potentially Malicious Blocks: 1
Whitelisted Blocks: 6
Unknown Blocks: 17

Visual Map

? 0 0 x ? ? ? ? 0 ? ? ? ? ? ? ? 0 0 ? ? 0 ? ? ?
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.LD
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
Show More
  • MSIL.Krypt.UJB
  • MSIL.Kryptik.AR
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\appdata\local\sirdur.exe Generic Write,Read Attributes
c:\users\user\appdata\roaming\chromeupdate.exe Generic Write,Read Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Données API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Le plus regardé

Chargement...