Pesquisadores Consideram os Arquivos de 32 e 64 Bits Vulneráveis a Infectadores Persistentes do Malware Xpiro

A família de infectadores de arquivos maliciosos conhecida como Xpiro, foi reconhecida por tipos maliciosos de malware projetados para direcionar arquivos de link, para que possam ser executados na reinicialização de um PC, onde uma infecção pode ser iniciada para roubar informações do sistema infectado. Recentemente, pesquisadores da Symantec descobriram novos infectadores de arquivos Xpiro direcionados às arquiteturas Intel de 32 bits, 64 bits e AMD64 (64 bits).

As ações maliciosas do Xpiro são basicamente procurar e destruir. Primeiro, ele planta infecções nos arquivos de serviço win32 e depois procura arquivos .ink, além de iniciar os arquivos do menu. Após o primeiro estágio das infecções, o Xpiro passa a infectar arquivos executáveis de todas as unidades conectadas, incluindo todas as unidades removíveis ou mapeadas.

Uma vez infectado, o malware rouba todas as informações que pode obter na máquina infectada, enquanto utiliza métodos furtivos para evitar a detecção. Basicamente, o malware evita alertar o usuário do computador sobre o que está acontecendo em segundo plano. O ato final do Xpiro é adicionar suas próprias extensões aos navegadores Firefox e Chrome, basicamente permitindo que os cibercriminosos executem diferentes tarefas maliciosas.

Algumas das tarefas que hackers remotos são capazes de executar após o lançamento do Xpiro em um sistema vulnerável, são o nível de segurança mais baixo do Chrome ou Firefox, espionam as atividades da Internet, roubam logs e até redirecionam o usuário para sites indesejados aleatórios.

Um aspecto do Xpiro que realmente mantém a infecção oculta é o fato de colocar extensões e arquivos infectados em locais imperceptíveis. Como exemplo, as extensões infectadas do Firefox não aparecem na lista de extensões no painel de configurações do aplicativo, como mostra a Figura 1 abaixo. Além disso, às vezes os arquivos têm seus nomes modificados para evitar suspeitos.

Figura 1. - O Xpiro Injetou Extensões Maliciosas Ocultas na Lista de Complementos do Firefox. - Fonte: Symantec

O Xpiro é, sem dúvida, cheio de uma infinidade de ações e intenções maliciosas. A versão mais recente do Xpiro foi claramente identificada como sendo atualizada para infectar arquivos executáveis em várias plataformas para apresentar a funcionalidade mais sofisticada ainda em uso. Provavelmente, um dos aspectos mais exigentes do Xpiro e suas intenções é que ele possa executar todas essas atividades maliciosas enquanto evita a detecção.

É do interesse de todos estarem atento a novas ameaças emergentes de malware , mesmo que sejam chamas antigas como o Xpiro, que foi pensado para ser extinto ao mesmo tempo, mas que foi reintroduzido na natureza com nova sofisticação. A melhor abordagem é manter todos os seus softwares atualizados, além de executar consistentemente um aplicativo anti-spyware ou anti-vírus capaz de detectar essas ameaças.