Especialistas em segurança da Fortinet detectaram uma nova ofensiva digital que utiliza mensagens corporativas fraudulentas para disseminar o XWorm, software malicioso capaz de assumir o controle integral de computadores com Windows sem levantar suspeitas.
A investida tira proveito de uma vulnerabilidade revelada em 2018 e ainda presente em máquinas desatualizadas. A ameaça distribui uma versão recente do XWorm, ferramenta vendida abertamente em canais do Telegram e classificada entre as mais ativas no universo de acesso remoto ilícito.
Leia: Antonio Neto: Reduzir a jornada é repartir o ganho da produtividade com trabalhadores
O golpe tem início com um e-mail de phishing – técnica em que golpistas se passam por empresas ou contatos legítimos. A mensagem traz anexado um arquivo .XLAM, formato de suplemento do Excel.
O conteúdo simula comunicações rotineiras, como solicitações de pagamento, ordens de compra ou comprovantes bancários, incentivando o destinatário a abrir o documento. Os envios foram detectados em diversos idiomas, indicando atuação internacional. Ao executar o arquivo, a infecção é acionada.
No interior da planilha há um objeto OLE, tecnologia da Microsoft que permite incorporar elementos dentro de documentos. Esse item é deliberadamente corrompido para ser processado pelo EQNEDT32.EXE, antigo editor de equações do Office.
O componente carrega a vulnerabilidade CVE-2018-0802, que possibilita execução remota de código (RCE). Embora a falha tenha sido corrigida há anos, ela continua sendo explorada porque muitos sistemas permanecem sem atualização.
Código oculto e técnica “sem arquivo”
Após a exploração, um shellcode é executado silenciosamente. Ele utiliza funções nativas do Windows para baixar um arquivo HTA — aplicação baseada em HTML com permissões amplas — diretamente na pasta do usuário, iniciando-o em seguida.
O conteúdo do HTA é ofuscado para dificultar análises. Ele invoca o PowerShell com comandos codificados em Base64. Em seguida, baixa uma imagem JPEG hospedada em serviço legítimo — estratégia que ajuda a driblar filtros de segurança.
A imagem, porém, carrega código escondido por esteganografia. O módulo malicioso é extraído e executado diretamente na memória, sem gravação no disco — técnica conhecida como fileless, voltada a escapar de antivírus tradicionais.
Malware se infiltra em processo legítimo
Com o módulo ativo, o sistema baixa o XWorm. Para evitar detecção, utiliza o método de “esvaziamento de processo”: abre o Msbuild.exe — ferramenta legítima da Microsoft — em estado suspenso, injeta o código malicioso e só então permite sua execução.
Para mecanismos de monitoramento superficiais, parece apenas que o Msbuild está operando normalmente.
O que o XWorm faz após a infecção
A variante identificada é a XWorm 7.2, lançada entre o fim de 2025 e o início de 2026. Uma vez instalada, estabelece conexão com servidor de comando e controle (C2) usando criptografia AES.
O primeiro envio inclui informações detalhadas do computador: nome de usuário, versão do Windows, especificações de hardware e antivírus ativos. A partir desse ponto, o invasor passa a ter domínio quase completo da máquina.
Entre as capacidades estão:
• Controle remoto de mouse e teclado
• Captura de tela
• Acesso à câmera e ao microfone
• Roubo de senhas, cookies, tokens e chaves Wi-Fi
• Execução de comandos e manipulação de arquivos
• Comunicação via chat com a vítima
Em situações mais graves, pode ser usado para ataques DDoS ou para instalar ransomware e exigir pagamento para liberar arquivos.
Com estrutura modular e suporte a mais de 50 plugins, o XWorm pode expandir suas funções continuamente, tornando-se uma ameaça em constante adaptação.
(Com informações de TecMundo)
(Foto: Reprodução/Freepik)
