Hackers usam malware para espalhar XWorm RAT em faturas falsas
São Paulo — InkDesign News — Um novo padrão de ataques por email, utilizando documentos de fatura falsos, está em ascensão, com o objetivo de instalar o perigoso XWorm RAT (Remote Access Trojan). A descoberta foi realizada pelo Forcepoint X-Labs.
Incidente e vulnerabilidade
O ataque se inicia com um email que finge ser uma notificação sobre “Facturas pendentes de pagamento” (Pending Invoices for Payment) de um remetente chamado Brezo Sánchez. Este email contém um arquivo do Office com a extensão .xlam. De acordo com pesquisadores do X-Labs, ao abrir o arquivo, ele pode parecer em branco ou corrompido, mas o dano já começou. Dentro do arquivo está um componente oculto denominado oleObject1.bin, que contém um código criptografado, conhecido como shellcode.
Impacto e resposta
O shellcode conecta-se a um endereço da web específico, hxxp://alpinreisan1com/UXOexe, para baixar o programa malicioso principal, um arquivo executável nomeado UXO.exe. Este programa carrega uma DLL prejudicial na memória do computador utilizando injeção reflexiva de DLL. Essa técnica permite que o código malicioso opere disfarçado dentro de um aplicativo confiável, mantendo a persistência enquanto evita a detecção. O XWorm fornece controle remoto total sobre o sistema infectado, permitindo o roubo de arquivos e o registro de teclas. O XWorm conecta-se a um servidor de Comando e Controle (C2), especificamente 158.94.209180, para enviar todos os dados roubados dos usuários.
Através da injeção de processos, o malware opera secretamente dentro de um aplicativo confiável, mantendo sua capacidade de persistir sem ser detectado.
(“Through process injection, the malware runs secretly within a trusted application and successfully maintains persistence while avoiding detection.”)— Prashant Kumar, Pesquisador Sênior, Forcepoint
Mitigações recomendadas
Para proteger-se contra tais ataques, é crucial ter cautela com anexos, especialmente aqueles que terminam em .xlam ou .bin. Além disso, recomenda-se verificar faturas inesperadas por meio de contato direto com o remetente e manter sistemas operacionais e softwares de segurança atualizados.
É essencial tomar precauções rigorosas e se educar sobre os vetores de ataque para proteger sistemas e dados.
(“It is essential to take strict precautions and educate oneself about attack vectors to protect systems and data.”)— Especialista em segurança cibernética
Os riscos residuais deste ataque ressaltam a necessidade contínua de vigilância e educação em segurança cibernética, enquanto os usuários devem permanecer alertas para possíveis futuras campanhas maliciosas.
Fonte: (Hack Read – Segurança Cibernética)
