黑客利用虚假发票传播XWorm RAT通过Office文件

根据Forcepoint X-Labs的最新研究，新一轮电子邮件攻击正在兴起，黑客通过虚假发票文件诱骗用户安装危险的XWorm RAT（远程访问木马），能够悄无声息地从计算机窃取敏感信息。

攻击链分析

该骗局从一封电子邮件开始，通常伪装成来自名为Brezo Sánchez的"待支付发票"邮件。邮件包含一个扩展名为.xlam的Office文件附件。

X-Labs研究人员指出，当用户打开该文件时，它可能看起来是空白或已损坏，但损害已经开始了。

正如我们所知，网络攻击通常遵循一系列步骤，而这个攻击非常详细。附加的Office文件中包含一个名为oleObject1.bin的隐藏组件，其中包含称为shellcode的加密代码。这个shellcode是一个小程序，会立即下载攻击的下一部分。

shellcode会访问特定网址hxxp://alpinreisan1com/UXOexe，下载主要的恶意程序——一个名为UXO.exe的可执行文件。该程序随后启动第二阶段——将另一个有害的DLL文件（DriverFixPro.dll）加载到计算机内存中。

这种加载使用反射式DLL注入（一种先将有害程序直接加载到计算机内存而不先将其保存为常规文件的隐蔽方式）。此DLL最终执行进程注入，涉及强制恶意代码在计算机上正常的无害程序内部运行。这个最终注入的代码属于XWorm RAT家族。

Forcepoint的高级研究员Prashant Kumar在博客文章中解释说，XWorm的功能允许它对受感染系统进行完全远程控制，从窃取文件到记录击键。

通过进程注入，恶意软件在受信任的应用程序内秘密运行，并成功保持持久性，同时避免检测。最后，XWorm程序连接到命令与控制（C2）服务器，特别是158.94.209180，将受害者所有被窃取的数据发送给攻击者。

这项关于多阶段攻击的重要研究是与Hackread.com独家分享的。然而，值得注意的是，这不是今年第一次出现XWorm威胁。

2025年1月，Hackread.com报道了一个XWorm活动，该活动入侵了全球18,459台设备，窃取了浏览器密码和Discord令牌。随后在2025年3月，Veriti的研究显示，XWorm正在使用亚马逊网络服务（AWS）S3存储等受信任平台分发其有害文件。

为了保护自己免受此类攻击，请谨慎处理附件，特别是那些以.xlam或.bin结尾的附件，通过致电发件人验证意外发票，并定期更新操作系统和安全软件。