Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware XWorm 6.0

Malware XWorm 6.0

Por Mezo em Malware, Minhocas
Traduzir Para:

Pesquisadores de segurança rastrearam o XWorm, de uma estrutura compacta de acesso remoto para uma plataforma altamente modular que os operadores usam para executar uma ampla gama de operações maliciosas em hosts Windows comprometidos. Denunciado pela primeira vez em 2022 e vinculado a um grupo usando o identificador EvilCoder, o XWorm tem sido ativamente desenvolvido e retrabalhado por indivíduos usando as personas XCoder (desenvolvedor líder até meados de 2024) e, mais recentemente, por vendedores como a XCoderTools. Sua evolução contínua e reaparecimento demonstram a rapidez com que uma ferramenta pode se fragmentar, ser reempacotada e reintroduzir-se no mercado.

Como o XWorm é construído — Núcleo + Plugins

A arquitetura do XWorm se concentra em um pequeno cliente que se conecta a um servidor de Comando e Controle (C2) e a um grande conjunto de payloads de plug-ins que são carregados na memória sob demanda. O design permite que os operadores mantenham o cliente leve em um host enquanto enviam dinamicamente funcionalidades (DLLs) para executar tarefas específicas. O ecossistema do projeto também incluiu ferramentas auxiliares promovidas pelos desenvolvedores: um construtor de malware .NET, um RAT separado chamado XBinder e um utilitário que tenta contornar o Controle de Conta de Usuário (UAC) do Windows. A comunidade de desenvolvedores em torno do XWorm tem anunciado outros componentes e instaladores falsos (notadamente instaladores maliciosos do ScreenConnect) como iscas de distribuição.

Cadeias de infecção e técnicas de entrega

Pesquisadores observaram múltiplos fluxos de trabalho de infecção mutáveis para o XWorm. As primeiras cadeias dependiam de mensagens de phishing que entregavam arquivos de atalho do Windows (LNK); os LNKs executavam o PowerShell, que baixava arquivos falsos (por exemplo, um TXT inofensivo) e um executável enganoso (comumente disfarçado de Discord) que, por fim, lançava o payload real. Campanhas mais recentes, distribuindo a família 6.x, usaram anexos JavaScript maliciosos em e-mails de phishing que exibiam um PDF falso enquanto executavam o PowerShell em segundo plano, que injetava o XWorm em processos legítimos, como o RegSvcs.exe, para evitar a detecção. Os agentes de ameaças também distribuíram versões crackeadas ou trojanizadas de componentes do XWorm por meio de repositórios do GitHub, sites de compartilhamento de arquivos, canais do Telegram e YouTube, tentando enganar operadores menos qualificados para instalar construtores backdoor.

Recursos de evasão, controle remoto e operador

O XWorm integra diversas verificações antianálise que interrompem a execução ao detectar indicadores de virtualização ou sandbox. Uma vez ativo, o cliente aceita comandos do C2 que abrangem operações RAT comuns (transferência de arquivos, manipulação de processos e serviços, execução de comandos de shell, abertura de URLs), controle do sistema (desligamento/reinicialização) e ações mais agressivas, como iniciar atividades DDoS. O modelo modular de plug-in permite que um operador remoto execute mais de 35 payloads DLL diferentes na memória sem gravá-los em disco, proporcionando ao XWorm uma superfície de ataque flexível e reduzindo os rastros forenses.

Protocolo de entrega de plugins

O XWorm 6.x implementa um protocolo de plugin com hash-first: o C2 emite um comando "plugin" que contém o hash SHA-256 da DLL solicitada, além dos argumentos de tempo de execução. O cliente verifica se o plugin já está armazenado em cache; caso contrário, solicita o arquivo com "sendplugin". O servidor responde com um comando "savePlugin" contendo o plugin como um blob base64 e seu hash SHA-256. O cliente decodifica o blob, verifica o hash e carrega a DLL diretamente na memória para execução.

Plugins notáveis e o que eles fazem

  • RemoteDesktop.dll — estabelece uma sessão remota interativa.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — roubo de credenciais e dados de sistemas operacionais e aplicativos (chaves do Windows, senhas de Wi-Fi, credenciais armazenadas no navegador, incluindo desvios para criptografia vinculada a aplicativos e coletores para FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll — acesso e manipulação do sistema de arquivos.
  • Shell.dll — execução oculta de comandos do operador por meio do cmd.exe.
  • Informations.dll — impressão digital do host/sistema.
  • Webcam.dll — captura imagens/vídeos da webcam para confirmar uma vítima real.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — enumera conexões de rede, janelas ativas e entradas de inicialização automática.
  • Ransomware.dll — rotinas de criptografia/descriptografia de arquivos (compartilha código com ransomware do estilo NoCry).
  • Rootkit.dll — instala um rootkit r77 modificado.
  • ResetSurvival.dll — modifica o Registro do Windows para sobreviver a determinadas reinicializações do dispositivo.

Outros malwares distribuídos por meio de infecções por XWorm incluem:

  • Ladrão de Nuvem Negra
  • Hworm (VBS RAT)
  • Snake KeyLogger
  • Mineradores de moedas
  • Malware puro
  • ShadowSniff (ladrão de ferrugem, código aberto)
  • Ladrão Fantasma
  • Ladrão de femedrona
  • Remcos RAT

Retrocessos operacionais, fragmentação e bifurcações armadas

O desenvolvimento do XWorm não foi linear. No segundo semestre de 2024, a persona XCoder excluiu abruptamente sua presença no Telegram, lançando dúvidas sobre o futuro do projeto. Essa lacuna, no entanto, gerou atividades oportunistas: pacotes crackeados do XWorm v5.6 que foram trojanizados para infectar outros agentes de ameaças, e campanhas de engenharia social direcionadas a "script kiddies" via GitHub e outros canais públicos — campanhas que, segundo estimativas de pesquisadores, tentaram comprometer dezenas de milhares de dispositivos (supostamente mais de 18.000).

Analistas também encontraram forks modificados, incluindo uma variante denominada XSPY (origem relatada: variante em chinês) e uma falha crítica de execução remota de código (RCE) em algumas compilações, que permitia que alguém com a chave de criptografia C2 executasse código arbitrário em hosts infectados. A fragmentação do kit de ferramentas dificulta a atribuição e a remoção; diferentes vendedores e forks podem aparecer e desaparecer independentemente.

A ressurgência de 2025: XWorm 6.0 e a atividade do Marketplace

Em 4 de junho de 2025, um fornecedor autodenominado XCoderTools publicou o XWorm 6.0 em fóruns de crimes cibernéticos ao preço de US$ 500 para acesso vitalício, alegando que a versão havia sido completamente recodificada e que a falha RCE relatada anteriormente havia sido corrigida. Não está claro se esta versão foi do autor original ou de um terceiro que utiliza a marca XWorm. As amostras observadas do XWorm 6.0 estão configuradas para contatar um C2 em 94.159.113[.]64 na porta 4411 e implementar o protocolo de plug-in descrito acima, permitindo a entrega rápida na memória de dezenas de módulos DLL.

Conclusão

O ciclo de vida do XWorm — do desenvolvimento ativo, passando pelo abandono, até o reaparecimento sob novos fornecedores e versões crackeadas por trojans — é um lembrete de que o malware é um ecossistema. Mesmo que o autor original desapareça, seu código pode ser bifurcado, transformado em arma e reimplantado por outros. Os defensores devem, portanto, se concentrar em controles resilientes e estratégias de detecção que pressuponham que os adversários reutilizarão e reempacotarão os conjuntos de ferramentas existentes.

Tendendo

German Federal Criminal Police Ransomware (BKA)...

Segurança do Computador
Ultimamente, as ameaças de ransomware cresceram em abundância, aproveitando uma infinidade de falsas alegações, desde as autoridades policiais locais que detectam a distribuição de software ilegal até a exibição de pornografia infantil. Mais recentemente, notificamos uma ameaça específica de ransomware, apelidada de BKA da Polícia Criminal Federal da Alemanha (BKA), que teve casos em que na...

Mais visto

Carregando...