XsFunction

A ferramenta XsFunction é um Trojan backdoor que parece fazer parte do arsenal de hackers do Naikon APT (Ameaça Persistente Avançada). O grupo de hackers do Naikon provavelmente é originário da China e tende a atingir usuários e organizações na região do Sudeste Asiático. O Naikon APT apareceu nos radares dos analistas de malware em 2015. Nessa campanha, o grupo de hackers do Naikon utilizou o Trojan backdoor XsFunction para realizar operações de reconhecimento. O grupo de hackers do Naikon permanece ativo até hoje, e sua última campanha envolve uma nova ferramenta chamada Aria-body. Essa ferramenta de hackers foi usada em operações direcionadas a órgãos governamentais localizados na Austrália, Tailândia, Filipinas, Vietnã e Brunei.

Apesar da ameaça XsFunction ter sido detectada pela primeira vez em 2015, essa ferramenta de hackers ainda é usada pelo Naikon APT em suas campanhas mais recentes. Essa é uma ameaça muito flexível que permite que os atacantes executem 48 comandos no host infectado. Com esse conjunto de comandos, o grupo de hackers do Naikon pode obter facilmente o controle total do sistema visado. O malware XsFunction permite que os atacantes:

• Executem comandos remotos.
• Gerenciem os processos e serviços ativos.
• Controlem o sistema de arquivos.
• Carreguem arquivos no host.
• Baixem arquivos do host.

O malware Aria-body é provavelmente uma variante nova e atualizada da ameaça clássica do XsFunction. Embora as duas ameaças tenham recursos semelhantes, o malware do Aria-body parece ter módulos de evasão de sandbox muito avançados que permitem evitar ambientes de depuração de malware.

O fato do grupo de hackers do Naikon ter criado um sucessor do malware XsFunction não significa que eles pretendam parar de usar essa ferramenta. A ameaça XsFunction ainda é um malware muito potente e ameaçador, capaz de causar grandes danos aos sistemas visados. Para proteger o seu computador contra ameaças como o malware XsFunction, obtenha um aplicativo anti-vírus respeitável.