O XWorm, um trojan de acesso remoto emergente, tem se destacado como uma das ameaças mais persistentes globalmente.

Desde sua primeira observação em 2022, o malware passou por atualizações significativas que aprimoraram sua funcionalidade. A equipe de analistas da ANY.RUN analisou a versão mais recente do XWorm, desmontando suas mecânicas e configurações.

A amostra analisada foi encontrada no banco de dados de malware da ANY.RUN, tendo sido inicialmente distribuída via MediaFire, um serviço de hospedagem de arquivos.

Ao ser executado, o XWorm foi imediatamente detectado pelas regras do Suricata. A análise do sandbox revelou várias técnicas usadas pelo malware, incluindo a adição de seu atalho ao diretório de inicialização e o uso do agendador de tarefas para reiniciar-se com privilégios elevados.

Uma tentativa de evasão da análise do sandbox foi observada quando o malware falhou ao ser executado, indicando que o XWorm agora verifica se está sendo executado em um ambiente virtualizado.

Para contornar isso, a equipe ativou o Residential Proxy nas configurações do sandbox. A análise estática revelou que o XWorm é uma variação .NET e que seu código foi obfuscado.

Tentativas de desobfuscação usando ferramentas padrão não foram bem-sucedidas. A configuração completa do XWorm inclui um host, porta, chave AES, entre outros parâmetros. Essas informações são vitais para entender o funcionamento e a comunicação do malware.