Verge Tech – O mundo da tecnologia resumido em notícia de qualidade

Cuidado: Recibo Falso Está Distribuindo Trojan de Acesso Remoto Via Office

Um novo e perigoso ataque de phishing por e-mail está infectando computadores de usuários com o XWorm RAT, um poderoso trojan de acesso remoto. A análise detalhada da Forcepoint X-Labs revelou como o vírus consegue roubar dados sensíveis das vítimas, enquanto se disfarça com aparência de normalidade ou erro.

Como Funciona o Ataque

O padrão da campanha é claro: os usuários recebem e-mails em espanhol com o assunto “Facturas pendientes de pago” (Faturas com pagamento pendente), supostamente enviados por Brezo Sánchez.

O golpe se concretiza quando a vítima abre o anexo, que é um arquivo do Office com extensão .xlam. Embora o arquivo possa parecer vazio ou corrompido, a esta altura, o computador já está comprometido com o malware.

A Longa Cadeia de Infecção do XWorm

A infecção pelo XWorm RAT segue uma complexa cadeia de passos, começando no arquivo Office malicioso.

  1. Dropper Oculto: O arquivo contém um componente escondido, o oleObject1.bin, que possui um código malicioso criptografado (shellcode).
  2. Download da Carga: Este shellcode é responsável por baixar a próxima etapa do ataque, um executável chamado UXO.exe, de um endereço específico.
  3. Injeção Furtiva: O UXO.exe instala o arquivo malicioso DriverFixPro.dll. Para evitar a detecção por antivírus, essa DLL usa injeção reflexiva — ela é executada diretamente na memória, forçando seu código a rodar dentro de um programa inofensivo.
  4. Exfiltração de Dados: O programa final XWorm coleta e envia todas as informações roubadas para o servidor de Comando e Controle (C2) do atacante (158.94.209.180).

Histórico e Impacto do XWorm

O RAT XWorm não é novidade; campanhas envolvendo este trojan têm sido rastreadas desde janeiro deste ano. O malware já infectou mais de 18 mil dispositivos globalmente, sendo notório por roubar senhas e tokens de contas do Discord. Em março, os criminosos usaram até mesmo plataformas como o armazenamento S3 da Amazon Web Services (AWS) para distribuir o vírus.

Como se Proteger

Para se manter seguro contra esta ameaça, é essencial adotar as seguintes medidas:

  • Verifique os Anexos: Desconfie de e-mails com anexos de faturas que você não reconhece, especialmente aqueles com extensões incomuns como .xlam ou .bin.
  • Mantenha a Segurança: Certifique-se de que seu sistema operacional e seus aplicativos de segurança (antivírus, etc.) estejam sempre atualizados.
  • Atenção ao Remetente: Questione a legitimidade de remetentes e a urgência de assuntos como “pagamentos pendentes”.