Aggregator

Gartner has unveiled its vision for the technologies that will define 2026, spotlighting the innovations and risks that business and IT leaders can’t afford to ignore. The research firm says organizations are entering a period of change, where AI, connectivity, and digital trust will shape how companies compete and operate. “We’ve seen more innovations emerge in a single year than ever before. Because the next wave of innovation isn’t years away, organizations that act now … More →

The post Gartner predicts the technologies set to transform 2026 appeared first on Help Net Security.

自XWorm后门原开发者XCoder去年放弃该项目后，其新版本已通过钓鱼攻击传播。最新变体XWorm 6.0、6.4及6.5已被多个威胁者采用，且支持插件功能——这些插件可实现各类恶意操作，包括从浏览器与应用中窃取数据、通过远程桌面与Shell权限控制主机、对文件进行加解密等。

XCoder开发的最后一个已知版本为XWorm 5.6，该版本存在远程代码执行漏洞，而近期的新版本已修复此问题。

一、XWorm核心特性：模块化架构成优势，传播覆盖多国家

XWorm是2022年首次被发现的远程访问木马，凭借模块化设计与丰富功能，成为网络犯罪分子常用的高效恶意软件。

其典型恶意用途包括：

·收集敏感数据，如密码、加密货币钱包信息、财务数据；

·记录键盘输入、窃取剪贴板内容；

·发起分布式拒绝服务（DDoS）攻击、加载其他恶意软件。

在XCoder删除用于发布更新的Telegram账号后，多个威胁者开始传播该恶意软件的破解版本。

XWorm的流行程度极高，甚至有威胁者将其作为“诱饵”，针对技术水平较低的网络犯罪分子植入另一款数据窃取后门——该攻击事件最终导致18459台设备感染，受影响设备主要分布在俄罗斯、美国、印度、乌克兰与土耳其。

二、传播方式：多渠道进化，融合社会工程与技术手段

1. 地下市场流通与样本激增

黑客论坛上有一个名为“XCoderTools”的账号，已开始推广XWorm新版本，提供终身使用权限的订阅价格为500美元。目前尚不确定该账号是否为原开发者XCoder，但账号声称新版本已修复RCE漏洞，并包含多项更新。

网络安全公司Trellix的研究人员发现，自今年6月起，VirusTotal扫描平台上的XWorm样本数量显著增加，这一现象也表明该恶意软件在网络犯罪分子中的使用率正大幅上升。

2. 攻击链升级：不止于传统邮件钓鱼

在多起攻击事件中，XWorm的传播途径呈现多样化特征：

·某钓鱼攻击通过恶意JavaScript脚本触发PowerShell脚本，绕过反恶意软件扫描接口（AMSI）防护后部署XWorm；

·有攻击利用AI主题诱饵、经篡改的ScreenConnect远程访问工具传播；

·另有攻击将shellcode嵌入微软Excel文件（.XLAM），通过钓鱼邮件诱导打开以植入恶意软件。

XWorm 感染链

Trellix在9月的报告中指出：“XWorm的感染链已实现进化，除传统邮件攻击外，还融入了更多技术手段。”当前其初始入侵途径仍包括邮件与.LNK文件，但同时会使用“看似合法的.exe文件名”伪装成无害应用（如仿冒社交软件Discord）。Trellix表示：“这标志着攻击者正转向‘社会工程学+技术攻击向量’的结合模式，以提升攻击成功率。”

三、插件功能：35+模块覆盖窃密到勒索，与NoCry勒索软件存在代码关联

据Trellix研究人员披露，XWorm目前已拥有35个以上插件，功能覆盖从敏感信息窃取到勒索攻击的全场景。

1. 勒索模块（Ransomware.dll）：定制化加密，仿NoCry技术

XWorm 运营商发起勒索软件攻击

该模块具备文件加密功能，网络犯罪分子可通过它设置“加密后桌面壁纸”“赎金金额”“钱包地址”及“联系邮箱”。

加密过程会避开系统文件与文件夹，专注加密%USERPROFILE%目录和“文档”目录下的数据，加密后会删除原始文件，并为锁定文件添加.ENC后缀。

受害者桌面会被植入一个HTML文件，内含解密指引，包括比特币（BTC）地址、联系邮箱与赎金金额。

XWorm 勒索软件模块加密

研究人员发现，XWorm勒索模块与2021年首次发现的.NET架构NoCry勒索软件存在代码重叠——两者使用相同算法生成初始化向量（IV）与加解密密钥，且均采用“AES-CBC模式、4096字节块”的加密流程，甚至对分析环境的验证逻辑也完全一致。

2. 其他14类核心插件功能

除勒索模块外，Trellix还分析了XWorm的14类关键插件，功能可分为控制、窃密、系统探测三大类：

·远程控制类：

RemoteDesktop.dll：创建远程会话，实现对受害者设备的交互控制；

Shell.dll：在隐藏的cmd.exe进程中执行攻击者发送的系统命令；

FileManager.dll：为攻击者提供文件系统访问与操作权限。

·数据窃取类：

WindowsUpdate.dll、Stealer.dll、Recovery.dll等：专门窃取受害者敏感数据；

Chromium.dll：针对Chromium内核浏览器窃取数据；

merged.dll、SystemCheck.Merged.dll：辅助完成数据窃取与系统检测。

·系统探测与通信类：

Informations.dll：收集受害者设备的系统信息；

Webcam.dll：录制受害者设备画面，同时用于验证设备是否为真实感染目标；

TCPConnections.dll/ActiveWindows.dll/StartupManager.dll：分别向命令与控制（C2）服务器发送“活跃TCP连接列表”“当前打开窗口列表”“开机启动程序列表”。

研究人员强调，仅数据窃取类模块就可让攻击者从35种以上应用中窃取登录信息，涵盖网页浏览器、邮件客户端、即时通讯软件、FTP客户端及加密货币钱包。

四、防御建议：多层防护应对模块化攻击

鉴于XWorm插件具备“功能专一、灵活组合”的特点，Trellix建议企业采用多层防御策略，以便在感染后仍能对恶意行为进行拦截：

1. 部署端点检测与响应（EDR）解决方案，识别XWorm各模块的行为特征；

2. 启用邮件与网页前置防护，阻断恶意软件的初始传播载体（如钓鱼邮件、恶意链接）；

3. 部署网络监控工具，检测XWorm与C2服务器的通信（如下载插件、外传数据）。

Hackers have unleashed a new self-propagating malware dubbed GlassWorm, which first infiltrated the Visual Studio Code extension ecosystem

The post The Invisible Worm: GlassWorm Spreads Via VS Code Extensions and Blockchain C2 appeared first on Penetration Testing Tools.

Kuba Gretzky originally sought to make the internet a safer place — yet his creation achieved the opposite.

The post The MFA Killer: How One Programmer’s Tool Became a $100M Cybercrime Weapon appeared first on Penetration Testing Tools.

For the first time, the U.S. Department of Homeland Security has formally demanded that OpenAI disclose the identity

The post First Known Case: Feds Force OpenAI to Disclose ChatGPT User Identity appeared first on Penetration Testing Tools.

Across the Asia-Pacific region and Japan, a new breed of cybercrime is taking shape—one where attackers operate as

The post The New E-Crime: AI-Driven Ransomware and Billion-Dollar Asian Underworlds appeared first on Penetration Testing Tools.

The Japanese company Ryohin Keikaku, owner of the Muji brand, has suspended operations of its online store following

The post Muji Suspends Online Store After Ransomware Cripples Logistics Partner appeared first on Penetration Testing Tools.

Developers using the Cursor and Windsurf IDEs are currently exposed to exploitation through at least 94 known vulnerabilities

The post Warning: AI IDEs Cursor and Windsurf Expose Users to 94 Chromium Flaws appeared first on Penetration Testing Tools.