Pesquisadores do Netskope Threat Labs identificaram uma nova versão do malware XWorm em ataques ativos, com recursos avançados que aumentam sua capacidade de evasão e dificultam a remoção. De acordo com a análise, o XWorm 6.0 consegue se manter ativo mesmo após a reinicialização do sistema, além de burlar soluções antivírus tradicionais.
“O XWorm 6.0 é capaz de burlar ferramentas de segurança, se proteger contra remoção e se manter ativo mesmo após um desligamento forçado.”
Código malicioso opera na memória e evita rastros
A nova versão do malware se propaga por meio de scripts disfarçados em arquivos ou mensagens aparentemente legítimas. Ao ser executado, o código malicioso é carregado inteiramente na memória do sistema, evitando a criação de arquivos no disco e dificultando a detecção por ferramentas de segurança.
Além disso, o XWorm 6.0 altera a memória do sistema para impedir que os antivírus identifiquem sua presença durante escaneamentos automáticos.
“O XWorm se espalha por meio de scripts disfarçados em mensagens ou arquivos aparentemente legítimos, baixando um código malicioso que se executa inteiramente na memória, sem deixar rastros visíveis. A nova versão ainda bloqueia a ação do antivírus, modificando a memória do sistema para escapar de escaneamentos automáticos.”
Malware se protege como processo crítico do sistema
Outro ponto crítico revelado pela análise é que, se executado com privilégios de administrador, o XWorm 6.0 se registra como um processo crítico do Windows. Isso significa que sua finalização, mesmo por administradores, pode provocar a paralisação do sistema.
“Se o XWorm 6.0 for executado com privilégios de administrador, ele automaticamente se sinaliza como um ‘processo crítico’, o que impede sua finalização mesmo por administradores. Se for finalizado à força, o sistema irá travar e exigir a reinicialização, e neste momento o malware se ativa novamente.”
Inteligência contra ambientes de análise
A versão 6.0 também inclui mecanismos que detectam se o malware está sendo executado em ambientes de análise, sandbox ou máquinas virtuais, encerrando a execução automaticamente para evitar detecção por especialistas em cibersegurança.
“A análise da Netskope mostra que essa nova versão também identifica se está sendo executada em ambientes de análise ou simulação, e se encerra automaticamente para evitar a detecção por especialistas de segurança.”
O relatório completo da Netskope, com detalhes técnicos sobre o funcionamento do XWorm 6.0, está disponível no blog da empresa. A recomendação é reforçar a segurança contra malwares de execução em memória e investir em soluções capazes de identificar comportamentos anômalos em tempo real.
