Recibo falso é usado para espalhar trojan de acesso remoto em arquivos do Office

Um novo tipo de ataque de phishing por e-mail está levando o RAT XWorm, um trojan de acesso remoto, ao computador de usuários. Em análise da empresa Forcepoint X-Labs, foi revelado como o vírus rouba dados sensíveis do PC das vítimas e aparenta normalidade ou bugs durante o ataque.

• O que é phishing e como se proteger?
• Entenda o que é backdoor e a diferença com os trojans

Em diversas instâncias da campanha, foi visto um padrão: em espanhol, o e-mail vem com o assunto “Facturas pendientes de pago” (Faturas com pagamento pendente, em tradução livre), do remetente Brezo Sánchez. Nos anexos, há um arquivo Office com a extensão .xlam: ao abri-lo, ele pode parecer vazio ou corrompido, mas a essa altura o computador já está infectado com o malware.

Longa infecção XWorm Rat

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O trojan de acesso remoto uma longa cadeia de funcionamento, começando pelo arquivo Office. Ele traz um componente escondido (dropper) chamado oleObject1.bin, com um código encriptado do tipo shellcode. Ele é um pequeno programa malicioso cuja função é baixar a parte seguinte do ataque, que vem de um endereço bem específico: hxxp://alpinreisan1com/UXOexe.

Dele, vem um executável chamado UXO.exe, que instala outro arquivo malicioso, o DriverFixPro.dll. Com injeção de DLL reflexiva, que funciona direto na memória do computador, sem arquivos relacionados, essa DLL força o código malicioso a rodar dentro de um programa inofensivo, fugindo de detecções de antivírus comuns. Esse programa XWorm final envia as informações roubadas da vítima para o servidor de Controle e Comando (C2) malicioso 158.94.209180.

Campanhas com o RAT XWorm já foram vistas desde janeiro deste ano, quando até 18.459 dispositivos foram infectados pelo mundo, roubando senhas e tokens de contas do Discord. Em março, plataformas como o armazenamento S3 da Amazon Web Services (AWS) foram usadas para espalhar o mesmo vírus.

Para escapar, fique atento com anexos de e-mail terminando em extensões .xlam ou .bin, mensagens sobre recibos que você não reconhece e demais sinais suspeitos. Também mantenha o sistema operacional atualizado e os aplicativos de segurança usados na máquina.

Confira também:

• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
• O que é firewall e como ele funciona?
• O que é uma vulnerabilidade de dia zero (Zero-Day)?

VÍDEO | MOD APK É SEGURO? | Dicas | #shorts

Fonte: Forcepoint