Pesquisadores do Netskope Threat Labs descobriram uma nova versão do malware XWorm circulando em ataques ativos, com funcionalidades inéditas que dificultam a detecção e aumentam a persistência nos sistemas infectados. Segundo os especialistas, o XWorm 6.0 é capaz de burlar ferramentas de segurança, se proteger contra remoção e se manter ativo mesmo após um desligamento forçado.
De acordo com o estudo, o XWorm se espalha por meio de scripts disfarçados em mensagens ou arquivos aparentemente legítimos, baixando um código malicioso que se executa inteiramente na memória, sem deixar rastros visíveis. A nova versão ainda bloqueia a ação do antivírus, modificando a memória do sistema para escapar de escaneamentos automáticos.
Outro destaque identificado no relatório foi que o XWorm 6.0 for executado com privilégios de administrador, ele automaticamente se sinaliza como um “processo crítico”, o que impede sua finalização mesmo por administradores. Se for finalizado à força, o sistema irá travar e exigir a reinicialização, e neste momento o malware se ativa novamente.
A análise da Netskope mostra que essa nova versão também identifica se está sendo executada em ambientes de análise ou simulação, e se encerra automaticamente para evitar a detecção por especialistas de segurança.
