Barracuda full logo

Resumo de Malware: XWorm, TrickMo e Remcos

Tópicos:
23 out. 2025
|
Tony Burgess

Com o Halloween a aproximar-se, achei que seria uma boa ideia dedicar este Resumo de Malware a ameaças que se transformam ou que sofreram alterações significativas. Porque é um pouco como vestir um disfarce, percebe? Ok, não é a melhor ligação temática de sempre, mas foi o que consegui, não me chateiem.

De qualquer forma, vamos dar uma olhada em três ameaças. A primeira é XWorm, um Trojan de acesso remoto (RAT) que faz tudo e usa muitas técnicas diferentes para se infiltrar nas redes. A sua ampla disponibilidade em versões crackeadas ajudou a aumentar a sua popularidade.

A seguir vem TrickMo, um Trojan Android que começou como o malware de desktop TrickBot, antes de se tornar móvel.

Por fim, vamos dar uma olhada no Remcos, uma ferramenta legítima de acesso remoto que - como outras - foi reutilizada como um RAT que ofusca a sua natureza e lança ameaças persistentes avançadas (APTs).

XWorm: RAT canivete suíço mutante

Tipo: RAT Modular

Funcionalidades: Espionagem de webcam, sequestro da área de transferência, comportamento semelhante a ransomware e mais

Técnicas principais: desvio de AMSI, carregadores PowerShell/VBS, propagação USB, HVNC, etc.

Atores de ameaça: TA558, NullBuldge, UAC-0184

Distribuição: Originalmente vendido como malware-como-serviço usando múltiplos níveis e capacidades, mais tarde amplamente disponível em versões gratuitas e pirateadas.

XWorm é extremamente popular, não apenas porque versões pirateadas estão disponíveis gratuitamente, mas porque é extremamente fácil de usar, oferece uma ampla variedade de funcionalidades e é frequentemente atualizado pelos seus desenvolvedores. Isso torna-o muito popular não apenas entre grupos organizados e profissionais de cibercriminosos como TA558, NullBuldge e UAC-0184, mas também entre hackers amadores com habilidades e capacidades limitadas.

Uma das coisas que torna o XWorm particularmente difícil de detetar é a sua abordagem dinâmica à infeção. Utiliza uma grande variedade de carregadores e alterna entre vários formatos de ficheiro e linguagens de script, incluindo PowerShell, VBS, executáveis .NET, JavaScript, scripts em batch, .hta, .lnk, .iso, .vhd, .img, entre outros, para preparar e carregar a sua carga útil. Isto ajuda-o a evadir as defesas convencionais de endpoint e as ferramentas de sandboxing.

TrickMo: Trojan Android com um legado TrickBot

Tipo: Cavalo de Troia Bancário

Funcionalidades: Permite o controlo remoto do dispositivo infectado, juntamente com a recolha de ficheiros, registo de teclas e mais

Atores de ameaça: Afiliados do agora extinto grupo TrickBot

Distribuição e infeção: O dropper disfarça-se como navegador web Google Chrome que solicita ao utilizador que atualize os Serviços do Google Play, momento em que descarrega um ficheiro APK contendo a carga útil TrickMo.

Sistemas-alvo: Dispositivos móveis Android

Com base no duradouro Trojan TrickBot que visa sistemas de desktop Windows, o TrickMo exemplifica a evolução do malware de desktop para móvel. Ao solicitar ao utilizador que ative os serviços de acessibilidade, o TrickMo ganha amplas capacidades para controlar e aceder ao dispositivo e aos dados nele armazenados.

Nas suas variantes mais recentes, o TrickMo utiliza ecrãs de bloqueio e ecrãs de login falsos para recolher credenciais de utilizador. No entanto, também é capaz de intercetar palavras-passe de uso único, gravar interações no ecrã, incluindo padrões de desbloqueio, exfiltrar dados usando 22 infraestruturas de comando e controlo conhecidas, conceder permissões automaticamente, entre outras funcionalidades.

Resiste à análise e ofusca a sua natureza utilizando ficheiros .zip malformados para distribuição, entre outras técnicas.

Remcos: Ferramenta legítima de acesso remoto tornada maliciosa

Tipo: Ferramenta comercial de acesso remoto que é frequentemente abusada em campanhas de phishing e kits de exploração

Capacidades: Permite que os atacantes assumam o controlo administrativo dos sistemas-alvo, encontrem e exfiltrem dados, entre outros.

Atores de ameaça: APT33, The Gorgon Group, UAC-0050

Distribuição e infeção: E-mails de phishing enganam os utilizadores para descarregarem um ficheiro aparentemente inofensivo que contém um objeto OLE que explora a vulnerabilidade de execução remota de código (RCE) CVE-2017-0199.

Embora a vulnerabilidade CVE-2017-0199 seja conhecida desde 2017, há muitos sistemas não corrigidos, dando aos atacantes amplas oportunidades para continuar a explorá-los.

Existe uma tendência crescente de atacantes a utilizar ferramentas comerciais de acesso remoto, como o Remcos, para assumir o controlo de sistemas alvo para fins criminosos. Embora essas ferramentas tenham utilizações legítimas para suporte de TI e para trabalhadores controlarem remotamente sistemas de escritório a partir de locais fora do local, o uso delas para fins nefastos tem implicações significativas em termos de segurança.

Contra-atacar

Combater estes ataques depende de:

  • Ter uma infraestrutura de cibersegurança robusta que utiliza tecnologias de deteção baseadas em IA que derrotam técnicas avançadas de ofuscação
  • Garantir que os utilizadores estão bem formados para identificar e-mails suspeitos que possam ser tentativas de phishing, e para sempre confirmar a sua autenticidade antes de tomar qualquer ação.
  • Garantir que todos os sistemas e softwares estão sempre atualizados
Explore a plataforma de cibersegurança BarracudaONE
Tony Burgess

Tony Burgess é um veterano de vinte anos na indústria de segurança de TI e é o Senior Copywriter de Conteúdo e Marketing ao Cliente da Barracuda. Nesta função, ele pesquisa temas técnicos complexos e traduz as descobertas em prosa clara, útil e legível para humanos.

Pode conectar-se com o Tony no LinkedIn aqui.

Artigos Relacionados:
The 2025 ITRC Consumer Impact Report: A new era of identity crime
The 2025 ITRC Consumer Impact Report: A new era of identity crime
 Nevada ransomware attack offers lessons in statewide cyber resilience
Nevada ransomware attack offers lessons in statewide cyber resilience
 Resumo de Malware: Android na mira — FvncBot, SeedSnatcher, ClayRat
Resumo de Malware: Android na mira — FvncBot, SeedSnatcher, ClayRat
 As desmantelações de cibercrime mais interessantes de 2025
As desmantelações de cibercrime mais interessantes de 2025
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.