Recebimento de Recibo Falso em E-mails Desencadeia Infecção por Trojan de Acesso Remoto em Arquivos Office

Recentemente, um novo tipo de ataque virtual através de e-mails de phishing tem chamado a atenção dos especialistas em segurança cibernética. O alvo desta vez são usuários de computadores que recebem o RAT XWorm, um trojan de acesso remoto altamente perigoso. Em uma análise detalhada conduzida pela Forcepoint X-Labs, foi possível observar a forma como este vírus é capaz de penetrar nos sistemas das vítimas, roubando informações confidenciais enquanto simula um estado de normalidade ou apresenta leves erros aparentemente inofensivos.

Entre as várias táticas utilizadas por essa campanha de phishing, uma vem se destacando. Trata-se do envio de e-mails que trazem como remetente o nome Brezo Sánchez, com o título “Facturas pendientes de pago”, que pode ser traduzido livremente para “Faturas com pagamento pendente”. O e-mail inclui um anexo perigoso com a extensão .xlam, um tipo de arquivo do Microsoft Office. No momento em que o usuário clica para abrir esse arquivo, que inicialmente pode parecer vazio ou danificado, o sistema já está comprometido, permitindo que o malware comece a operar.

O processo de infecção por meio do trojan de acesso remoto XWorm envolve uma sequência bem coordenada de passos. Inicialmente, o arquivo Office infectado contém um componente disfarçado, chamado de dropper, cujo nome técnico é oleObject1.bin. Este dropper carrega um código encriptado do tipo shellcode, projetado para fazer o download da próxima etapa do ataque a partir de um endereço específico. O destino desse download é um executável denominado UXO.exe, que, por sua vez, adiciona um arquivo malicioso adicional ao sistema, o DriverFixPro.dll.

A técnica empregada para infiltrar esse arquivo malicioso no sistema se chama injeção de DLL reflexiva, que age diretamente na memória do computador sem a necessidade de arquivos visíveis. Isso permite que o código malicioso seja executado dentro de um programa aparentemente inofensivo, ajudando-o a escapar das verificações realizadas por muitos programas antivírus. O objetivo final do XWorm é enviar os dados roubados para um servidor de Controle e Comando (C2), identificado pelo endereço IP malicioso 158.94.209.180.

O impacto do RAT XWorm já é observado desde o início deste ano. Em janeiro, aproximadamente 18.459 dispositivos foram infectados globalmente, resultando no roubo de senhas e tokens de contas do Discord. Em março, plataformas como a Amazon Web Services (AWS) foram utilizadas pelos cibercriminosos para facilitar a disseminação desse vírus.

Para se proteger contra essas ameaças, é crucial prestar atenção a e-mails com anexos terminados em .xlam ou .bin, e-mails que mencionam cobranças ou recibos desconhecidos, bem como outras comunicações suspeitas. Outras medidas de segurança incluem a manutenção do sistema operacional sempre atualizado e o uso contínuo de ferramentas de segurança no computador.