Recentemente, uma nova campanha de phishing tem explorado uma vulnerabilidade do Excel para disseminar um trojan de acesso remoto (RAT) em computadores com Windows. O malware chega até os usuários disfarçado em arquivos do formato JPEG, tornando a ameaça ainda mais difícil de detectar.
Batizado de “XWorm 7.2”, o malware é distribuído por e-mails que simulam solicitações de pagamento ou documentos bancários. Na realidade, esses arquivos não existem e são apenas parte de uma armadilha elaborada por cibercriminosos.
De acordo com especialistas da Fortinet, os golpistas se aproveitam da legitimidade de processos corporativos para criar cenários convincentes. O objetivo é disseminar o trojan para obter controle total da máquina e, assim, roubar senhas e chaves de Wi-Fi.
Como funciona a armadilha?
Os hackers utilizam engenharia social para tornar os e-mails urgentes e convincentes. Eles enviam mensagens burocráticas com documentos, consultas comerciais ou pedidos de compra, visando fisgar as vítimas.
Enquanto o corpo do texto parece inofensivo, o anexo é um arquivo do Excel que, ao ser aberto, explora uma vulnerabilidade do sistema. Isso desencadeia um efeito em cascata no Windows, executando um script oculto via PowerShell que instala uma foto do tipo JPEG aparentemente normal.
Porém, é justamente essa imagem que carrega o XWorm 7.2, infectando a máquina com o malware. O software malicioso, por sua vez, ativa o “Msbuild.exe”, um programa legítimo do Windows, interrompendo sua execução para injetar o código do vírus.
Como o processo é feito por meio de ferramentas legítimas, nem mesmo um antivírus consegue identificar que há algo suspeito acontecendo no sistema.
Roubo de credenciais e outros riscos
Os pesquisadores identificaram que os hackers conseguem adicionar mais de 50 plugins maliciosos no PC para aumentar o alcance da operação. Dessa forma, os criminosos obtêm acesso rápido e silencioso a informações sensíveis das vítimas, principalmente senhas e chaves de Wi-Fi.
O malware ainda possibilita a coleta de cookies do navegador visado, assim como espiona a vítima por meio da webcam ou do registro das teclas pressionadas. Também há recursos integrados de ransomware para lançar ataques de negação de serviço distribuída (DDoS).
Devido à complexidade do software malicioso, ele é extremamente difícil de ser removido. A ocultação do malware no sistema também dificulta sua detecção.
Como se proteger?
- Não abra anexos de e-mails suspeitos ou inesperados.
- Mantenha seu sistema operacional e programas sempre atualizados.
- Utilize uma solução de segurança confiável e mantenha-a ativa.
- Fique atento a e-mails que solicitam ações urgentes ou informações pessoais.
A conscientização e a prevenção são as melhores armas contra esse tipo de ameaça. Fique atento e proteja seus dados!