30/09/25
Новая кампания по рассылке вредоносных писем выявлена специалистами Forcepoint X-Labs. Троян даёт атакующим полный контроль над системой и позволяет тайно похищать засекреченные данные, поясняет Securitylab.
Рассылка начинается с писем, в которых фигурирует тема «Неоплаченные счета-фактуры». К письму прикреплён файл с расширением .xlam, замаскированный под документ Microsoft Office. После открытия он может выглядеть повреждённым или пустым, но на самом деле уже запускает вредоносную цепочку.
Внутри вложения спрятан объект oleObject1.bin с зашифрованным шелл-кодом. Он начинает загрузку следующего компонента с удалённого ресурса. Полученный исполняемый файл UXO.exe загружает в память дополнительную библиотеку DriverFixPro.dll с помощью Reflective DLL Injection, то есть напрямую в оперативную память без сохранения на диск. Затем библиотека выполняет инъекцию в процесс, внедряя вредоносный код в легитимное приложение. На этой стадии как раз и активируется XWorm RAT.
Исследователь Forcepoint Прашант Кумар отмечает, что XWorm способен фиксировать нажатия клавиш, копировать файлы и управлять системой удалённо. Благодаря используемой методике он скрывается внутри доверенного процесса, что усложняет обнаружение. Для передачи похищенной информации программа подключается к удалённому серверу управления.
XWorm уже не впервые используется в массовых атаках. В январе 2025 года через него были заражены свыше 18 тысяч устройств, откуда похищались пароли браузеров и токены Discord. В июле исследователи Netskope Threat Labs зафиксировали новую технику распространения — через VBScript.
