4 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a xworm.
O initial access broker TA584 foi observado usando o Tsundere Bot em conjunto com o RAT XWorm para obter acesso inicial a redes, ação que pode facilitar ataques de ransomware. O relatório não fornece IoCs, número de vítimas nem detalhes técnicos das campanhas.
Microsoft Threat Intelligence detectou e bloqueou uma campanha massiva de phishing (Storm-0900) que enviou dezenas de milhares de e-mails com temas de multa e exames, direcionando vítimas a uma landing page com falso CAPTCHA que validava interação antes de entregar XWorm.
Campanha recente usa anexos .vbs em falsos avisos de pagamento para instalar Backdoor.XWorm. O fluxo envolve um .vbs de 429 linhas que grava IrisBud.bat e aoc.bat, usa PowerShell para descriptografar payloads (AES) e carrega executáveis em memória; mutex 5wyy00gGpG6LF3m6 confirma a família XWorm.
Análise da ANY.RUN mostra uma campanha que esconde loaders AES/Base64 dentro de PNGs (Vile.png, Mands.png) e usa um PowerShell em duas etapas para carregar XWorm em memória. O dropper JavaScript (PurchaseOrder_25005092.JS) também cria persistência via tarefa agendada; a técnica dificulta detecção por assinaturas.