Xworm

Pesquisadores em cibersegurança analisaram a evolução do malware XWorm, que se tornou uma ferramenta versátil para diversas ações maliciosas em sistemas comprometidos. Com um design modular, XWorm é composto por um cliente central e plugins especializados que executam ações específicas, como roubo de dados, keylogging e operações de ransomware. Desde sua primeira observação em 2022, o malware, associado ao ator de ameaças EvilCoder, tem se espalhado principalmente por e-mails de phishing e sites fraudulentos. Recentemente, novas variantes, como o XWorm 6.0, foram identificadas, oferecendo funcionalidades adicionais e utilizando arquivos JavaScript maliciosos para injetar o malware em processos legítimos do Windows. A modularidade do XWorm permite que comandos sejam enviados de servidores externos, facilitando ações como ataques DDoS e manipulação de arquivos. Apesar de um aparente abandono por parte de seu desenvolvedor original, o malware continua a ser distribuído e atualizado, destacando a necessidade de medidas de segurança robustas para enfrentar essas ameaças em constante evolução.

Em 4 de junho de 2025, pesquisadores de cibersegurança identificaram as primeiras implantações ativas da variante XWorm V6.0, que representa o retorno inesperado da infame família de RATs modulares. Esta nova variante mantém a arquitetura central de seu predecessor, mas incorpora melhorias para contornar a detecção por antivírus e aumentar a persistência. Os atacantes estão distribuindo o XWorm V6 por meio de campanhas de phishing, utilizando dropers de JavaScript maliciosos que se conectam silenciosamente a scripts PowerShell antes de entregar um DLL injetor.

Um novo ataque de phishing está disseminando o trojan de acesso remoto XWorm, conforme análise da Forcepoint X-Labs. Os e-mails maliciosos, enviados em espanhol com o assunto ‘Facturas pendientes de pago’, contêm anexos com a extensão .xlam. Ao serem abertos, esses arquivos podem parecer vazios, mas já iniciam a infecção no computador da vítima. O XWorm utiliza um dropper chamado oleObject1.bin, que baixa um executável malicioso (UXO.exe) de um servidor específico. Este executável instala uma DLL (DriverFixPro.dll) que opera diretamente na memória, evitando a detecção por antivírus. Desde janeiro, cerca de 18.459 dispositivos foram comprometidos, com o malware roubando senhas e tokens de contas, incluindo do Discord. Para se proteger, é essencial estar atento a anexos suspeitos e manter sistemas e aplicativos de segurança atualizados.