O XWorm, um Trojan de Acesso Remoto (RAT) que ganhou notoriedade em 2022, está de regresso e mais perigoso do que nunca. Após o seu criador original ter abandonado o projeto, novas versões do malware, como a 6.0, 6.4 e 6.5, foram adotadas por múltiplos grupos de cibercriminosos. Estas novas variantes vêm equipadas com um arsenal de funcionalidades maliciosas, incluindo a capacidade de encriptar ficheiros e exigir um resgate.
Segundo os investigadores da empresa de cibersegurança Trellix, tem-se verificado um aumento significativo de amostras do XWorm desde junho, o que indica uma crescente popularidade entre os atacantes. O malware é conhecido pela sua arquitetura modular, que permite adicionar novas capacidades através de plugins.
Métodos de infeção cada vez mais dissimulados
Se antes as campanhas de phishing por email eram o método principal, a cadeia de infeção do XWorm evoluiu consideravelmente. Os atacantes estão a usar técnicas cada vez mais sofisticadas para enganar as vítimas e contornar as defesas dos sistemas.
Entre os métodos de distribuição contam-se ficheiros JavaScript maliciosos que executam scripts PowerShell, capazes de iludir a proteção Antimalware Scan Interface (AMSI) da Microsoft. Os ficheiros .LNK e emails continuam a ser um vetor de acesso comum, mas os cibercriminosos estão também a disfarçar o malware com nomes de ficheiros executáveis de aplicações legítimas, como o Discord.
Outras táticas incluem o uso de iscos relacionados com Inteligência Artificial, variantes modificadas da ferramenta de acesso remoto ScreenConnect e até ficheiros Excel que escondem código malicioso para infetar os sistemas. Esta combinação de engenharia social com vetores de ataque técnicos torna a ameaça ainda mais eficaz.
Um arsenal com mais de 35 módulos maliciosos
A versatilidade do XWorm reside na sua vasta gama de plugins, que ultrapassam os 35 módulos. Estes permitem aos atacantes realizar uma panóplia de atividades maliciosas, desde o roubo de dados sensíveis até ao lançamento de ataques de negação de serviço distribuído (DDoS).
A funcionalidade mais alarmante é o módulo de ransomware, Ransomware.dll, que permite aos operadores encriptar os ficheiros da vítima, alterar o papel de parede do ambiente de trabalho e exigir um pagamento em criptomoeda para a sua recuperação. A análise da Trellix revelou semelhanças de código entre este módulo e o ransomware NoCry, detetado em 2021.
Além do ransomware, outros plugins permitem:
Criar sessões de acesso remoto para controlar a máquina da vítima.
Roubar credenciais de mais de 35 navegadores, clientes de email, aplicações de mensagens, clientes FTP e carteiras de criptomoedas.
Aceder e manipular ficheiros no sistema.
Executar comandos do sistema de forma oculta.
Gravar a vítima através da webcam.
Recolher informações sobre o sistema e ligações de rede ativas.
Como se proteger desta ameaça
Dada a natureza multifacetada do XWorm, a Trellix recomenda uma abordagem de defesa em várias camadas. Uma vez que os plugins têm funções específicas, é crucial ter soluções que possam detetar e responder a atividades maliciosas após o sistema já ter sido comprometido.
Soluções de deteção e resposta em endpoints (EDR) podem identificar o comportamento dos módulos do XWorm, enquanto proteções proativas de email e web são essenciais para bloquear os ficheiros de infeção iniciais. Adicionalmente, a monitorização da rede pode detetar a comunicação com os servidores de comando e controlo (C2), impedindo a descarga de mais plugins ou a extração de dados.
Nenhum comentário
Seja o primeiro!