Novas versões do backdoor XWorm estão sendo disseminadas em campanhas de phishing, mesmo após o abandono do projeto pelo desenvolvedor original, conhecido como XCoder, no ano passado.
As variantes mais recentes — XWorm 6.0, 6.4 e 6.5 — já parecem estar nas mãos de diversos grupos criminosos.
Elas contam com suporte a plugins que ampliam significativamente as funcionalidades maliciosas, permitindo desde o roubo de dados até o controle remoto das máquinas infectadas.
Com esses módulos, os operadores do malware conseguem extrair informações de navegadores e aplicativos, controlar o sistema via acesso remoto por desktop e shell, além de criptografar e descriptografar arquivos.
A última versão oficialmente desenvolvida por XCoder foi a 5.6, que possuía uma vulnerabilidade crítica de execução remota de código.
Esta falha foi corrigida nas variantes atuais. O XWorm é um trojan de acesso remoto (RAT) identificado pela primeira vez em 2022.
Sua popularidade se deve à arquitetura modular e à variedade de recursos disponíveis, que incluem o roubo de dados sensíveis — como senhas, carteiras de criptomoedas e informações financeiras —, além da captura de teclas digitadas e dados copiados para a área de transferência.
Além dessas funções, a ameaça também pode ser usada para lançar ataques de negação de serviço distribuída (DDoS) e para carregar outros malwares no sistema comprometido.
Após o desenvolvedor apagar suas contas no Telegram — canal pelo qual divulgava atualizações regulares —, diversos atores maliciosos passaram a distribuir versões crackeadas do malware.
Tamanho foi o sucesso do XWorm que um grupo criminoso chegou a utilizá-lo como isca para atrair hackers menos experientes, distribuindo uma backdoor que subtraía dados das vítimas.
Essa campanha resultou em 18.459 infecções, com maior incidência na Rússia, Estados Unidos, Índia, Ucrânia e Turquia.
Desde junho, pesquisadores da empresa de cibersegurança Trellix notam um aumento significativo no número de amostras de XWorm enviadas para a plataforma VirusTotal — indicador claro do crescimento da taxa de adoção entre cibercriminosos.
Em uma das campanhas de phishing recentes, o malware foi distribuído por meio de um script JavaScript malicioso que executava um script PowerShell capaz de burlar a proteção da Antimalware Scan Interface (AMSI) e instalar o XWorm silenciosamente.
Segundo relatório divulgado em setembro, a cadeia de infecção do XWorm evoluiu e agora incorpora técnicas além do tradicional ataque por email.
Embora anexos de email e arquivos .LNK continuem sendo vetores comuns de entrada, o malware passou a usar nomes de arquivos executáveis (.exe) com aparência legítima, simulando aplicações inofensivas — por exemplo, o Discord.
Essa mudança demonstra uma combinação de engenharia social com vetores técnicos, aumentando consideravelmente a eficácia dos ataques, conforme destaca a Trellix.
Outros pesquisadores detectaram ainda campanhas que usam iscas relacionadas a inteligência artificial e versões modificadas da ferramenta legítima de acesso remoto ScreenConnect para disseminar o malware.
Em outra análise, foi identificado um golpe de phishing que entregava o XWorm por meio de shellcode embutido em arquivos do Microsoft Excel com extensão .XLAM.
Atualmente, o XWorm possui mais de 35 plugins que ampliam suas capacidades, desde o roubo de informações até o componente ransomware.
O módulo de criptografia, chamado Ransomware.dll, permite que o operador configure um papel de parede na área de trabalho após bloquear os dados, exibindo valores de resgate, endereço da carteira para pagamento em Bitcoin e um email de contato.
O processo de criptografia evita arquivos e pastas do sistema, focando principalmente nos dados localizados nas pastas %USERPROFILE% e Documents.
Os arquivos originais são excluídos, substituídos por versões criptografadas com a extensão .ENC.
Além disso, as vítimas recebem um arquivo HTML com as instruções para recuperar os dados.
Esse arquivo traz o endereço para pagamento em BTC, o contato por email e o valor solicitado pelo resgate.
Pesquisadores da Trellix também encontraram semelhanças no código do módulo ransomware do XWorm com o ransomware NoCry, baseado em .NET e identificado pela primeira vez em 2021.
Ambos utilizam o mesmo algoritmo para gerar o vetor de inicialização (IV), a chave de criptografia/descriptografia e o processo de criptografia AES em modo CBC, que opera em blocos de 4096 bytes.
Além disso, ambos verificam de maneira parecida se estão sendo executados em ambientes de análise, para evitar serem detectados por pesquisadores.
Além do ransomware, a análise da Trellix detalhou 14 outros plugins usados pelo XWorm:
- RemoteDesktop.dll: cria sessões remotas para controle do computador da vítima
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll e SystemCheck.Merged.dll: coletam dados roubados das vítimas
- FileManager.dll: dá acesso e permite manipulação do sistema de arquivos ao operador
- Shell.dll: executa comandos via processo oculto cmd.exe
- Informations.dll: coleta informações sobre o sistema infectado
- Webcam.dll: ativa a gravação da webcam para monitorar a vítima e confirmar a autenticidade da máquina comprometida
- TCPConnections.dll, ActiveWindows.dll e StartupManager.dll: enviam listas de conexões TCP ativas, janelas abertas e programas inicializados ao servidor de comando e controle (C2)
Segundo a Trellix, os módulos de roubo de dados por si só já permitem que um operador do XWorm extraia credenciais de login de mais de 35 navegadores, clientes de email, aplicativos de mensagens, clientes FTP e carteiras de criptomoedas.
Devido à especialização das funcionalidades por meio dos plugins, a recomendação para organizações é adotar estratégias de defesa em múltiplas camadas que detectem e respondam rapidamente a atividades maliciosas após a contaminação.
Soluções de Endpoint Detection and Response (EDR) são capazes de identificar os comportamentos típicos dos módulos do XWorm, enquanto ferramentas proativas de proteção por email e navegação podem bloquear os arquivos maliciosos em fases iniciais.
Além disso, sistemas de monitoramento de rede podem detectar comunicações com os servidores de comando e controle, bloqueando o download de novos plugins ou a exfiltração de dados.
O crescimento e a sofisticação do XWorm evidenciam a necessidade de vigilância constante, atualização de defesas e treinamento dos usuários para fortalecer a segurança contra ameaças em constante evolução.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...