Malware XWorm ressurge com módulo de ransomware, mais de 35 plugins

Criptografia do módulo ransomware XWorm

Novas versões do backdoor XWorm estão sendo distribuídas em campanhas de phishing depois que o desenvolvedor original, XCoder, abandonou o projeto no ano passado.

As variantes mais recentes, XWorm 6.0, 6.4 e 6.5, parecem ser adotadas por vários agentes de ameaças e têm suporte para plug-ins que permitem uma ampla gama de atividades maliciosas.

Os operadores de malware podem usar os módulos para roubar dados de navegadores e aplicativos, assumir o controle do host por meio de área de trabalho remota e acesso ao shell e criptografar ou descriptografar arquivos.

A última versão conhecida do malware desenvolvido pelo XCoder é a 5.6, que foi vulnerável a uma falha de execução remota de código, abordada nas variantes recentes.

Versátil e popular

O XWorm é um trojan de acesso remoto observado pela primeira vez em 2022. Ele ganhou reputação como um malware altamente eficaz devido à sua arquitetura modular e amplos recursos.

Normalmente é usado para coletar dados confidenciais (senhas, carteiras criptográficas, informações financeiras), rastrear pressionamentos de tecla, roubar informações na área de transferência,

No entanto, ele também pode ser usado para lançar ataques distribuídos de negação de serviço (DDoS) e carregar outros malwares.

Depois que o XCoder excluiu suas contas do Telegram, onde compartilhavam atualizações regulares, vários agentes de ameaças começaram a espalhar versões crackeadas do malware.

O XWorm era tão popular que um agente de ameaças o usou como isca para atingir cibercriminosos menos qualificados com um backdoor que roubava dados.

Essa campanha contou 18.459 infecções, a maioria deles na Rússia, Estados Unidos, Índia, Ucrânia e Turquia.

Variedade de métodos de entrega

Desde junho, pesquisadores da empresa de segurança cibernética Trellix notaram um aumento nas amostras do XWorm na plataforma de varredura VirusTotal, o que também indica uma alta taxa de adoção entre os cibercriminosos.

Em uma campanha de phishing, o malware foi implantado por meio de um JavaScript malicioso que iniciou um script do PowerShell, que poderia ignorar a proteção da interface de verificação antimalware e implantar o XWorm.

Cadeia de infecção XWormTrellix disse.

Outros pesquisadores detectaram campanhas que entregou XWorm usando iscas com tema de IA e uma variante modificada da ferramenta de acesso remoto ScreenConnect.

Outra pesquisa fornece Detalhes técnicos em uma campanha de phishing que entrega o XWorm por meio de código shell incorporado em um arquivo MicrosoftExcelfile (. XLAM).

Ameaça de ransomware entre dezenas de módulos

De acordo com os pesquisadores da Trellix, o XWorm agora tem mais de 35 plug-ins que estendem seus recursos de roubo de informações confidenciais a ransomware.

A funcionalidade de criptografia de arquivos, Ransomware.dll, permite que os operadores de malware definam um papel de parede da área de trabalho depois de bloquear os dados, o valor do resgate, o endereço da carteira e o e-mail de contato.

Opções para o operador XWorm lançar um ataque de ransomware
Criptografia do módulo ransomware XWormO ransomware NoCry foi observado pela primeira vez em 2021.

Ambos os códigos maliciosos usam o mesmo algoritmo para gerar o vetor de inicialização (IV) e a chave de criptografia/descriptografia, o processo de criptografia (AES com modo CBC em blocos de 4096 bytes).

Os pesquisadores também notaram que os dois malwares executavam o mesmo conjunto de verificações em ambientes de análise.

Além do componente de ransomware, a Trellix analisou 14 outros plugins para o XWorm:

  • RemoteDesktop.dll: cria uma sessão remota para interagir com a máquina da vítima
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dlle SystemCheck.Merged.dll: roubar dados das vítimas
  • FileManager.dll: fornece ao operador recursos de acesso e manipulação do sistema de arquivos
  • Shell.dll: executa comandos do sistema que o operador envia em um oculto cmd.exe processo
  • Informations.dll: reúne informações do sistema sobre a máquina da vítima
  • Webcam.dll: Usado para gravar a vítima. Também é usado pelo operador para verificar se uma máquina infectada é real
  • TCPConnections.dll, ActiveWindows.dlle StartupManager.dll: lista de conexões TCP ativas, janelas ativas e programas de inicialização, respectivamente, para o servidor C2

Os pesquisadores dizem que os módulos de roubo de dados sozinhos permitir que um operador XWorm roube dados de login de vários aplicativos que incluem mais de 35 navegadores da web, clientes de e-mail, aplicativos de mensagens, clientes FTP e carteiras de criptomoedas.

Como os plug-ins têm uma função específica, a Trellix recomenda que as organizações usem uma abordagem de defesa em várias camadas que possa responder a atividades maliciosas após o comprometimento.

As soluções de detecção e resposta de endpoint (EDR) podem identificar o comportamento dos módulos do XWorm, enquanto as proteções proativas de e-mail e da web podem bloquear os droppers iniciais de malware.

Além disso, uma solução de monitoramento de rede pode detectar a comunicação com o servidor de comando e controle para baixar mais plug-ins ou exfiltração de dados.

O Evento de Validação de Segurança do Ano: O Picus BAS Summit

Junte-se ao Cúpula de Simulação de Violação e Ataque e experimente o Futuro da validação de segurança. Ouça os principais especialistas e veja como BAS alimentado por IA está transformando a simulação de violação e ataque.

Não perca o evento que moldará o futuro da sua estratégia de segurança

Ionut Ilascu

Ionut Ilascu é um escritor de tecnologia com foco em todas as coisas de segurança cibernética. Os tópicos sobre os quais ele escreve incluem malware, vulnerabilidades, exploits e defesas de segurança, bem como pesquisa e inovação em segurança da informação. Seu trabalho foi publicado pela Bitdefender, Netgear, The Security Ledger e Softpedia.

Você também pode gostar:

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.