Бухгалтер открыл счёт-фактуру, а хакер — его рабочий стол. Маскировка удалась

Новая кампания по рассылке вредоносных писем выявлена специалистами Forcepoint X-Labs. По их данным, злоумышленники используют поддельные счета-фактуры, чтобы заразить компьютеры на Windows удалённым трояном XWorm RAT. Этот троян даёт атакующим полный контроль над системой и позволяет тайно похищать конфиденциальные данные.

Рассылка начинается с писем, в которых фигурирует тема «Неоплаченные счета-фактуры». К письму прикреплён файл с расширением .xlam, замаскированный под документ Microsoft Office. После открытия он может выглядеть повреждённым или пустым, но на самом деле уже запускает вредоносную цепочку.

Внутри вложения спрятан объект oleObject1.bin с зашифрованным шелл-кодом. Он инициирует загрузку следующего компонента с удалённого ресурса. Полученный исполняемый файл UXO.exe загружает в память дополнительную библиотеку DriverFixPro.dll с помощью Reflective DLL Injection, то есть напрямую в оперативную память без сохранения на диск. Затем библиотека выполняет инъекцию в процесс, внедряя вредоносный код в легитимное приложение. На этой стадии как раз и активируется XWorm RAT.

Исследователь Forcepoint Прашант Кумар отмечает, что XWorm способен фиксировать нажатия клавиш, копировать файлы и управлять системой удалённо. Благодаря используемой методике он скрывается внутри доверенного процесса, что усложняет обнаружение. Для передачи похищенной информации программа подключается к удалённому серверу управления.

XWorm уже не впервые используется в массовых атаках. В январе 2025 года через него были заражены свыше 18 тысяч устройств, откуда похищались пароли браузеров и токены Discord. В июле исследователи Netskope Threat Labs зафиксировали новую технику распространения — через VBScript.

Чтобы снизить риск заражения, специалисты рекомендуют внимательнее относиться к вложениям, особенно с расширениями .xlam и .bin, проверять неожиданные счета по телефону и не откладывать обновление систем и защитного ПО.