Pesquisadores de segurança revelaram uma sofisticada cadeia de infecção que utiliza um carregador malicioso escrito em JScript para distribuir diferentes malwares, dependendo da localização geográfica da vítima. Esse carregador executa uma série de scripts PowerShell ofuscados, levando à infecção por trojans como o XWorm RAT ou o stealer Rhadamanthys. O ataque começa frequentemente por tarefas agendadas ou campanhas “ClickFix”, onde falsas CAPTCHAs acionam o comando mshta.exe, ativando o carregador JScript.

Este reconstruirá dinamicamente, a partir de segmentos embaralhados, um comando PowerShell que baixa a próxima etapa do ataque, limpando seus rastros em seguida. Antes de prosseguir, o script verifica a localização da vítima por meio de uma API de geolocalização. Se estiver nos EUA, distribui o XWorm; fora do país, entrega o Rhadamanthys. Isso mostra um uso estratégico de geofencing para evitar a detecção por analistas de segurança.

No caso do XWorm, o script decodifica dados, ajusta permissões de execução, encerra processos de análise e apaga arquivos suspeitos do sistema. Em seguida, utiliza técnicas de reflexão para injetar o malware diretamente na memória do processo legítimo RegSvcs.exe, mascarando sua atividade. O XWorm, ativo desde 2022, oferece funções como DDoS, ransomware, keylogger, roubo de carteiras de criptomoedas e persistência no sistema. Já o Rhadamanthys, voltado para vítimas fora dos EUA, rouba credenciais e dados sensíveis de navegadores, VPNs, e-mails e até imagens com frases-semente de criptomoedas usando OCR com inteligência artificial.