Recibo falso é usado para espalhar trojan de acesso remoto em arquivos do Office
Um novo tipo de ataque de phishing por e-mail está levando o RAT XWorm, um trojan de acesso remoto, ao computador de usuários. Em análise da empresa Forcepoint X-Labs, foi revelado como o vírus rouba dados sensíveis do PC das vítimas e aparenta normalidade ou bugs durante o ataque. O que é phishing e como se proteger? Entenda o que é backdoor e a diferença com os trojans Em diversas instâncias da campanha, foi visto um padrão: em espanhol, o e-mail vem com o assunto “Facturas pendientes de pago” (Faturas com pagamento pendente, em tradução livre), do remetente Brezo Sánchez. Nos anexos, há um arquivo Office com a extensão .xlam: ao abri-lo, ele pode parecer vazio ou corrompido, mas a essa altura o computador já está infectado com o malware. Longa infecção XWorm Rat O trojan de acesso remoto uma longa cadeia de funcionamento, começando pelo arquivo Office. Ele traz um componente escondido (dropper) chamado oleObject1.bin, com um código encriptado do tipo shellcode. Ele é um pequeno programa malicioso cuja função é baixar a parte seguinte do ataque, que vem de um endereço bem específico: hxxp://alpinreisan1com/UXOexe. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Um registro do e-mail hacker, como reportado pela Forcepoint (Imagem: Forcepoint/Divulgação) Dele, vem um executável chamado UXO.exe, que instala outro arquivo malicioso, o DriverFixPro.dll. Com injeção de DLL reflexiva, que funciona direto na memória do computador, sem arquivos relacionados, essa DLL força o código malicioso a rodar dentro de um programa inofensivo, fugindo de detecções de antivírus comuns. Esse programa XWorm final envia as informações roubadas da vítima para o servidor de Controle e Comando (C2) malicioso 158.94.209180. Campanhas com o RAT XWorm já foram vistas desde janeiro deste ano, quando até 18.459 dispositivos foram infectados pelo mundo, roubando senhas e tokens de contas do Discord. Em março, plataformas como o armazenamento S3 da Amazon Web Services (AWS) foram usadas para espalhar o mesmo vírus. Para escapar, fique atento com anexos de e-mail terminando em extensões .xlam ou .bin, mensagens sobre recibos que você não reconhece e demais sinais suspeitos. Também mantenha o sistema operacional atualizado e os aplicativos de segurança usados na máquina. Confira também: O que é Engenharia Social? Aprenda a identificar e se proteger de golpes O que é firewall e como ele funciona? O que é uma vulnerabilidade de dia zero (Zero-Day)? VÍDEO | MOD APK É SEGURO? | Dicas | #shorts Leia a matéria no Canaltech.