Código HTML do Conteúdo
Post: Malware XWorm ressurge com módulo de ransomware, mais de 35 plugins
<div>
<div>
<p>Novas versões do backdoor XWorm estão sendo distribuídas em campanhas de phishing depois que o desenvolvedor original, XCoder, abandonou o projeto no ano passado.</p>
<p>As variantes mais recentes, XWorm 6.0, 6.4 e 6.5, parecem ser adotadas por vários agentes de ameaças e têm suporte para plug-ins que permitem uma ampla gama de atividades maliciosas.</p>
<p>Os operadores de malware podem usar os módulos para roubar dados de navegadores e aplicativos, assumir o controle do host por meio de área de trabalho remota e acesso ao shell e criptografar ou descriptografar arquivos.</p>
<p>A última versão conhecida do malware desenvolvido pelo XCoder é a 5.6, que foi <a href="https://github.com/eastonkurth/xworm-rce" rel="nofollow noopener" target="_blank">vulnerável</a> a uma falha de execução remota de código, abordada nas variantes recentes.</p>
<h3>Versátil e popular</h3>
<p>O XWorm é um trojan de acesso remoto observado pela primeira vez em 2022. Ele ganhou reputação como um malware altamente eficaz devido à sua arquitetura modular e amplos recursos.</p>
<p>Normalmente é usado para coletar dados confidenciais (senhas, carteiras criptográficas, informações financeiras), rastrear pressionamentos de tecla, roubar informações na área de transferência,</p>
<p>No entanto, ele também pode ser usado para lançar ataques distribuídos de negação de serviço (DDoS) e carregar outros malwares.</p>
<p>Depois que o XCoder excluiu suas contas do Telegram, onde compartilhavam atualizações regulares, vários agentes de ameaças começaram a espalhar versões crackeadas do malware.</p>
<p>O XWorm era tão popular que um agente de ameaças o usou como isca para atingir cibercriminosos menos qualificados com um backdoor que roubava dados.</p>
<p>Essa campanha contou <a href="https://www.bleepingcomputer.com/news/security/hacker-infects-18-000-script-kiddies-with-fake-malware-builder/" rel="nofollow noopener" target="_blank">18.459 infecções</a>, a maioria deles na Rússia, Estados Unidos, Índia, Ucrânia e Turquia.</p>
<h3>Variedade de métodos de entrega</h3>
<p>Desde junho, pesquisadores da empresa de segurança cibernética Trellix notaram um aumento nas amostras do XWorm na plataforma de varredura VirusTotal, o que também indica uma alta taxa de adoção entre os cibercriminosos.</p>
<p>Em uma campanha de phishing, o malware foi implantado por meio de um JavaScript malicioso que iniciou um script do PowerShell, que poderia ignorar a proteção da interface de verificação antimalware e implantar o XWorm.</p>
<div>
<p><img decoding="async" alt="Cadeia de infecção XWorm" height="676" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/xworm_delivery_Trellix.jpg" width="900 /></div>
<p>In a report from September, the researchers said that “the XWorm malware infection chain has evolved to include additional techniques beyond traditional email-based attacks.”</p>
<p>Email and .LNK files are still a common initial access vector, but the malware also uses “legitimate-looking .exe filenames to disguise itself as harmless applications” such as Discord.</p>
<p>“This marks a shift towards combining social engineering with technical attack vectors for greater effectiveness,”<a href=">Trellix disse.</p>
<p>Outros pesquisadores detectaram campanhas que <a href="https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/malicious-screen-connect-campaign-abuses-ai-themed-lures-for-xworm-delivery/" rel="nofollow noopener" target="_blank">entregou XWorm</a> usando iscas com tema de IA e uma variante modificada da ferramenta de acesso remoto ScreenConnect.</p>
<p>Outra pesquisa fornece <a href="https://www.forcepoint.com/blog/x-labs/xworm-rat-shellcode-multi-stage-analysis" rel="nofollow noopener" target="_blank">Detalhes técnicos</a> em uma campanha de phishing que entrega o XWorm por meio de código shell incorporado em um arquivo MicrosoftExcelfile (. XLAM).</p>
<h3>Ameaça de ransomware entre dezenas de módulos</h3>
<p>De acordo com os pesquisadores da Trellix, o XWorm agora tem mais de 35 plug-ins que estendem seus recursos de roubo de informações confidenciais a ransomware.</p>
<p>A funcionalidade de criptografia de arquivos, Ransomware.dll, permite que os operadores de malware definam um papel de parede da área de trabalho depois de bloquear os dados, o valor do resgate, o endereço da carteira e o e-mail de contato.</p>
<div>
<p><img decoding="async" alt="Opções para o operador XWorm lançar um ataque de ransomware" height="363" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/xworm_RansomwareDLL_Trellix.jpg" width="339 /></div>
<p>The encryption process avoids system files and folders and focuses on data in the %USERPROFILE% and Documents locations, deletes the original file, and adds the .ENC extension to the locked data.</p>
<p>Victims also get instructions to decrypt the data in an HTML file dropped on the desktop. Details include the BTC address, email ID, and ransom amount.</p>
<div style="><br />
<img loading="lazy" decoding="async" alt="Criptografia do módulo ransomware XWorm" height="477" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/xworm-encryption_Trellix.jpg" width="855">O ransomware NoCry foi observado pela primeira vez em 2021.</p>
<p>Ambos os códigos maliciosos usam o mesmo algoritmo para gerar o vetor de inicialização (IV) e a chave de criptografia/descriptografia, o processo de criptografia (AES com modo CBC em blocos de 4096 bytes).</p>
<p>Os pesquisadores também notaram que os dois malwares executavam o mesmo conjunto de verificações em ambientes de análise.</p>
<p>Além do componente de ransomware, a Trellix analisou 14 outros plugins para o XWorm:</p>
<ul>
<li><strong>RemoteDesktop.dll</strong>: cria uma sessão remota para interagir com a máquina da vítima</li>
<li><strong>WindowsUpdate.dll</strong>, <strong>Stealer.dll</strong>, <strong>Recovery.dll</strong>, <strong>merged.dll</strong>, <strong>Chromium.dll</strong>e <strong>SystemCheck.Merged.dll</strong>: roubar dados das vítimas</li>
<li><strong>FileManager.dll</strong>: fornece ao operador recursos de acesso e manipulação do sistema de arquivos</li>
<li><strong>Shell.dll</strong>: executa comandos do sistema que o operador envia em um oculto <em>cmd.exe</em> processo</li>
<li><strong>Informations.dll</strong>: reúne informações do sistema sobre a máquina da vítima</li>
<li><strong>Webcam.dll</strong>: Usado para gravar a vítima. Também é usado pelo operador para verificar se uma máquina infectada é real</li>
<li><strong>TCPConnections.dll</strong>, <strong>ActiveWindows.dll</strong>e <strong>StartupManager.dll</strong>: lista de conexões TCP ativas, janelas ativas e programas de inicialização, respectivamente, para o servidor C2</li>
</ul>
<p>Os pesquisadores dizem que os módulos de roubo de dados sozinhos permitir que um operador XWorm roube dados de login de vários aplicativos que incluem mais de 35 navegadores da web, clientes de e-mail, aplicativos de mensagens, clientes FTP e carteiras de criptomoedas.</p>
<p>Como os plug-ins têm uma função específica, a Trellix recomenda que as organizações usem uma abordagem de defesa em várias camadas que possa responder a atividades maliciosas após o comprometimento.</p>
<p>As soluções de detecção e resposta de endpoint (EDR) podem identificar o comportamento dos módulos do XWorm, enquanto as proteções proativas de e-mail e da web podem bloquear os droppers iniciais de malware.</p>
<p>Além disso, uma solução de monitoramento de rede pode detectar a comunicação com o servidor de comando e controle para baixar mais plug-ins ou exfiltração de dados.</p>
<div>
<div>
<h2><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank">O Evento de Validação de Segurança do Ano: O Picus BAS Summit </a></h2>
<p>Junte-se ao <strong>Cúpula de Simulação de Violação e Ataque</strong> e experimente o <strong>Futuro da validação de segurança</strong>. Ouça os principais especialistas e veja como <strong>BAS alimentado por IA</strong> está transformando a simulação de violação e ataque.</p>
<p>Não perca o evento que moldará o futuro da sua estratégia de segurança</p>
</div>
</div>
</div>
</div>
<div>
<div>
<h5><a href="https://www.bleepingcomputer.com/author/ionut-ilascu/" target="_blank">Ionut Ilascu</a> <span> <a aria-label="Email ionut@bleepingcomputer.com" href="https://www.bleepingcomputer.com/news/security/xworm-malware-resurfaces-with-ransomware-module-over-35-plugins/mailto:ionut@bleepingcomputer.com" target="_blank"><i aria-hidden="true" title="Email ionut@bleepingcomputer.com"></i></a> <a aria-label="Open Author's twitter page" href="https://twitter.com/Ionut_Ilascu" rel="noopener" target="_blank"><i aria-hidden="true" title="Open Author's twitter page"></i></a></span></h5>
<p> Ionut Ilascu é um escritor de tecnologia com foco em todas as coisas de segurança cibernética. Os tópicos sobre os quais ele escreve incluem malware, vulnerabilidades, exploits e defesas de segurança, bem como pesquisa e inovação em segurança da informação. Seu trabalho foi publicado pela Bitdefender, Netgear, The Security Ledger e Softpedia.
</p>
</div>
</div>
<h3>Você também pode gostar:</h3>
</div></div>