XWorm RAT

El malware XWorm se identifica como una amenaza de la categoría Troyano de acceso remoto (RAT). Las RAT están diseñadas específicamente para permitir el acceso no autorizado y el control de la computadora de una víctima por parte de los ciberdelincuentes. Con el uso de RAT, los atacantes pueden monitorear y observar de forma remota las actividades de los usuarios, robar datos confidenciales y ejecutar una amplia gama de operaciones maliciosas en el sistema comprometido, según sus objetivos específicos. Según los investigadores, los desarrolladores ofrecen a la venta el XWorm RAT a un precio de $ 400.

El XWorm RAT puede robar una amplia gama de información confidencial

XWorm RAT posee una amplia gama de capacidades que lo convierten en una amenaza altamente sofisticada y peligrosa en manos de los ciberdelincuentes. Una de sus funcionalidades principales es la capacidad de robar información valiosa del sistema de la computadora de la víctima de forma sigilosa. La RAT puede robar datos confidenciales de navegadores populares. XWorm puede extraer contraseñas, cookies, detalles de tarjetas de crédito, marcadores, descargas, palabras clave e historial de navegación de los navegadores Chromium. Del mismo modo, puede sustraer contraseñas, cookies, marcadores e historial de los navegadores Firefox, comprometiendo en gran medida la seguridad de las actividades en línea de la víctima.

Además, las capacidades de XWorm abarcan una variedad de aplicaciones y servicios. Puede robar datos de sesión de Telegram, tokens de Discord, contraseñas de WiFi, datos de Metamask y FileZilla. Además, XWorm puede acceder al Editor del Registro, registrar pulsaciones de teclas, ejecutar ransomware para cifrar archivos y exigir un rescate, y manipular datos, servicios y procesos del portapapeles.

Más allá del robo de información, XWorm tiene la capacidad de ejecutar archivos, otorgando a los atacantes el poder de ejecutar varios programas maliciosos y cargas útiles en el sistema comprometido. Además, el troyano puede obtener acceso no autorizado a la cámara web y al micrófono de la víctima, lo que representa una importante invasión de la privacidad y permite a los atacantes monitorear las actividades de la víctima. El alcance de XWorm se extiende aún más, ya que puede abrir URL, ejecutar comandos de shell y administrar archivos, lo que brinda a los atacantes un control total sobre la computadora de la víctima.

Los atacantes pueden incluso usar XWorm para habilitar o deshabilitar componentes y funciones críticas del sistema, como el Control de cuentas de usuario (UAC), el Editor del registro, el Administrador de tareas, el Firewall y las actualizaciones del sistema. La capacidad de invocar la pantalla azul de la muerte (BSoD) agrega otra capa de interrupción y daño potencial al sistema de la víctima.

El XWorm RAT podría usarse para entregar cargas útiles de ransomware en los dispositivos violados

Una capacidad importante de XWorm es su capacidad para realizar ataques de ransomware. El ransomware es un software amenazante que cifra los archivos, haciéndolos inaccesibles sin una clave de descifrado específica. Posteriormente, los operadores de XWorm pueden exigir el pago de la víctima a cambio de proporcionar el software de descifrado necesario para recuperar el acceso a los archivos cifrados.

Además, se ha observado que los ciberdelincuentes utilizan XWorm para secuestrar portapapeles. Esta técnica implica el monitoreo de malware y la interceptación de datos copiados en el portapapeles de una víctima, con un enfoque específico en reemplazar las direcciones de billetera de criptomonedas. Por ejemplo, si una víctima copia una dirección de billetera de Bitcoin, Ethereum u otra criptomoneda, XWorm detecta los datos y los reemplaza con una dirección de billetera propiedad de los ciberdelincuentes. En consecuencia, las víctimas, sin darse cuenta, envían sus fondos a la billetera de los piratas informáticos en lugar de a la dirección del destinatario previsto.

La amplia gama de capacidades maliciosas observadas en XWorm RAT también incluye una funcionalidad de registro de teclas. El registro de teclas implica el proceso dañino de capturar y grabar clandestinamente todas las entradas del teclado realizadas por un usuario en un sistema infectado. Esto significa que las contraseñas, las credenciales de inicio de sesión, los mensajes confidenciales y otra información personal se registran y transmiten de forma subrepticia al servidor de comando y control del atacante.