XWorm è un malware scoperto per la prima volta nel 2022 che, pur essendo relativamente recente, si sta evolvendo a un ritmo preoccupante.
Il team di analisti di ANY.RUN, infatti, si è imbattuto nella versione più recente di questo agente malevolo, con l’opportunità di esaminarlo e di valutare le novità legate alla nuova variante.
Un rapido sguardo ai risultati dell’analisi ha rivelato che il malware era stato inizialmente distribuito tramite MediaFire, un noto servizio di file hosting. L’agente malevolo risultava incluso in un archivio RAR protetto da una password. Grazie a un’approfondita ricerca è stato poi possibile delineare i principali comportamenti di XWorm.
In un ambiente sandbox, l’agente malevolo ha dimostrato come agisce aggiungendosi alla lista di app avviate automaticamente con l’accensione del computer, l’ottenimento di privilegi elevati e il tentativo di connettersi a un server remoto.
Tuttavia, dopo queste procedure, XWorm ha assunto un comportamento molto evoluto e allarmante, che ha lasciato a bocca aperta gli esperti di cybersecurity.
XWorm: mosse e contromosse nella sfida tra cybercriminali ed esperti di sicurezza
Il malware, infatti, ha percepito di essere in un ambiente sandbox virtuale e si è chiuso. Questa tecnica avanzata di elusione permette ai cybercriminali di prendere tempo, rendendo molto più difficile la lettura della propria campagna malware.
A questo punto, però, vi è stata un’abile contromossa degli esperti.
Per superare questo problema, infatti, il team ha abilitato il proxy residenziale nelle impostazioni sandbox. Questa funzionalità sostituisce l’indirizzo IP del data center della macchina virtuale con quello di un ISP reale, facendo credere al malware di essere in esecuzione sulla macchina di un utente reale.
Da questo punto in poi, gli esperti hanno raccolto dati importanti per contrastare XWorm. Secondo quanto studiato sul campione, questa è risultata essere una variante .NET del malware, con un file binario soggetto a tecniche di offuscamento che hanno limitato fortemente l’operato dei tecnici.
Una vittoria, dunque, a metà per il team di cybersecurity. Tutto ciò dimostra quanto malware di questo tipo siano insidiosi e quanto, per i comuni utenti, sia importante prevenire il contagio.