O XWorm, um trojan de acesso remoto em ascensão, vem se mostrado eficiente para o que foi proposto, e tem preocupado organizações a nível global.
Desde sua primeira aparição em 2022, esse vírus já passou por inúmeras atualizações que o tornaram robusto em sua capacidade operacional. Após especialistas da equipe da ANY.RUN realizarem uma análise detalhada da versão mais recente do XWorm pôde-se entender melhor como esse malware foi projetado. A amostra examinada foi localizada no repositório de malware da ANY.RUN e, inicialmente, foi disseminada por meio do serviço de armazenamento de arquivos MediaFire.
Os testes ocorreram em ambiente controlado e revelou uma série de técnicas empregadas pelo malware. Elas variam desde de manipulação no agendador de tarefas até criação de atalho no diretório de inicialização. Com isso se torna capaz de reiniciar o programa com permissões elevadas. A analise também sugere que o malware é capaz de verificar presença de ambiente virtualizado.
Verificando o código por inspeção estática notou-se que Xworm é baseado em .NET e utiliza-se de técnicas de obfuscação para dificultar analises. Tentativas com ferramentas convencionais para reverter essas técnicas não foram eficientes.
Em suma, o XWorm exemplifica como as ameaças cibernéticas estão evoluindo rapidamente, tornando-se, assim, mais sofisticadas e difíceis de detectar. Além disso, sua capacidade de evitar análises ressalta a necessidade de um esforço contínuo por parte de pesquisadores e profissionais de segurança para acompanhar esse tipo de ameaça. Embora a análise tenha revelado alguns detalhes sobre o funcionamento do XWorm, ele, por sua vez, serve como um lembrete de que as ameaças digitais estão em constante evolução, e, portanto, a proteção contra elas exige inovação e vigilância contínua.
