XWorm RAT

Il malware XWorm è identificato come una minaccia dalla categoria Remote Access Trojan (RAT). I RAT sono specificamente progettati per consentire l'accesso non autorizzato e il controllo del computer di una vittima da parte dei criminali informatici. Con l'uso dei RAT, gli aggressori possono monitorare e osservare da remoto le attività degli utenti, rubare dati sensibili ed eseguire un'ampia gamma di operazioni dannose sul sistema compromesso, a seconda dei loro obiettivi specifici. Secondo i ricercatori, XWorm RAT è offerto in vendita dai suoi sviluppatori a un prezzo di $ 400.

XWorm RAT può rubare un'ampia gamma di informazioni sensibili

XWorm RAT possiede una vasta gamma di funzionalità che lo rendono una minaccia altamente sofisticata e pericolosa nelle mani dei criminali informatici. Una delle sue funzionalità principali è la capacità di rubare furtivamente preziose informazioni di sistema dal computer della vittima. Il RAT può rubare dati sensibili dai browser più diffusi. XWorm può estrarre password, cookie, dettagli della carta di credito, segnalibri, download, parole chiave e cronologia di navigazione dai browser Chromium. Allo stesso modo, può rubare password, cookie, segnalibri e cronologia dai browser Firefox, compromettendo notevolmente la sicurezza delle attività online della vittima.

Inoltre, le capacità di XWorm comprendono il targeting di una varietà di applicazioni e servizi. Può rubare dati di sessione di Telegram, token Discord, password WiFi, dati Metamask e FileZilla. Inoltre, XWorm può accedere all'editor del registro, registrare sequenze di tasti, eseguire ransomware per crittografare file e richiedere un riscatto e manipolare dati, servizi e processi degli appunti.

Oltre al furto di informazioni, XWorm ha la capacità di eseguire file, garantendo agli aggressori il potere di eseguire vari programmi dannosi e payload sul sistema compromesso. Inoltre, il trojan può ottenere l'accesso non autorizzato alla webcam e al microfono della vittima, violando notevolmente la privacy e consentendo agli aggressori di monitorare le attività della vittima. La portata di XWorm si estende ancora di più in quanto può aprire URL, eseguire comandi shell e gestire file, dando in modo efficace agli aggressori il controllo completo sul computer della vittima.

Gli aggressori possono persino utilizzare XWorm per abilitare o disabilitare componenti e funzionalità di sistema critici come Controllo dell'account utente (UAC), Editor del registro, Task Manager, Firewall e aggiornamenti di sistema. La possibilità di invocare il Blue Screen of Death (BSoD) aggiunge un ulteriore livello di interruzione e potenziale danno al sistema della vittima.

L'XWorm RAT potrebbe essere utilizzato per fornire payload di ransomware sui dispositivi violati

Una capacità significativa di XWorm è la sua capacità di condurre attacchi ransomware. Il ransomware minaccia il software che crittografa i file, rendendoli inaccessibili senza una chiave di decrittazione specifica. Successivamente, gli operatori di XWorm possono richiedere il pagamento alla vittima in cambio della fornitura del software di decrittazione necessario per riottenere l'accesso ai file crittografati.

Inoltre, è stato osservato che XWorm viene utilizzato dai criminali informatici per il dirottamento degli appunti. Questa tecnica prevede il monitoraggio del malware e l'intercettazione dei dati copiati negli appunti di una vittima, con un focus specifico sulla sostituzione degli indirizzi dei portafogli di criptovaluta. Ad esempio, se una vittima copia un indirizzo di portafoglio Bitcoin, Ethereum o altra criptovaluta, XWorm rileva i dati e li sostituisce con un indirizzo di portafoglio di proprietà dei criminali informatici. Di conseguenza, le vittime inviano inconsapevolmente i propri fondi al portafoglio degli hacker anziché all'indirizzo del destinatario previsto.

L'ampia gamma di funzionalità dannose osservate in XWorm RAT include anche una funzionalità di keylogging. Il keylogging comporta il processo dannoso di acquisizione e registrazione clandestina di tutti gli input da tastiera effettuati da un utente su un sistema infetto. Ciò significa che password, credenziali di accesso, messaggi sensibili e altre informazioni personali vengono registrate e trasmesse di nascosto al server di comando e controllo dell'aggressore.