Published on

XWorm 6.0: 35+ Plugins e Roubo de Dados Aprimorado

Authors

XWorm 6.0 Retorna com Mais de 35 Plugins e Capacidades Aprimoradas de Roubo de Dados

Pesquisadores de segurança cibernética documentaram a evolução do malware XWorm, transformando-o em uma ferramenta versátil que suporta uma ampla gama de ações maliciosas em hosts comprometidos.

Evolução e Características

O XWorm, observado pela primeira vez em 2022 e vinculado a um ator de ameaças chamado EvilCoder, é um malware multifuncional que pode facilitar roubo de dados, keylogging, captura de tela, persistência e até operações de ransomware. Sua propagação ocorre principalmente através de e-mails de phishing e sites falsos que anunciam instaladores maliciosos do ScreenConnect.

O design modular do XWorm é construído em torno de um cliente central e uma série de componentes especializados conhecidos como plugins. Esses plugins são essencialmente payloads adicionais projetados para executar ações específicas uma vez que o malware principal está ativo.

Capacidades Técnicas

A versão 6.0 do XWorm se conecta ao seu servidor de comando e controle (C2) e suporta um comando chamado "plugin" para executar mais de 35 payloads DLL na memória do host infectado, realizando várias tarefas:

  • RemoteDesktop.dll: Cria sessão remota para interagir com a máquina da vítima
  • Stealer.dll e similares: Rouba dados como chaves de produto Windows, senhas Wi-Fi e credenciais de navegadores
  • Ransomware.dll: Criptografa e descriptografa arquivos para extorquir resgates em criptomoedas
  • Webcam.dll: Grava a vítima e verifica se a máquina infectada é real
  • Rootkit.dll: Instala rootkit r77 modificado
  • Shell.dll: Executa comandos do sistema enviados pelo operador

Métodos de Propagação

As campanhas que distribuem o XWorm 6.0 usam arquivos JavaScript maliciosos em e-mails de phishing que, quando abertos, exibem um documento PDF isca, enquanto em segundo plano o código PowerShell é executado para injetar o malware em um processo legítimo do Windows.

Contexto Histórico

As operações do XWorm testemunharam contratempos significativos, incluindo a decisão do desenvolvedor XCoder de excluir sua conta do Telegram em 2024. Desde então, atores de ameaças foram observados distribuindo uma versão crackeada do XWorm que continha malware para infectar outros atores.

O retorno inesperado do XWorm V6, armado com uma variedade versátil de plugins, serve como um lembrete poderoso de que nenhuma ameaça de malware desaparece completamente.