Derzeit läuft eine neue Cyberangriffswelle, bei der die Opfer mit gefälschten Rechnungsdokumenten dazu verleitet werden, den gefährlichen XWorm RAT (Remote Access Trojan) zu installieren, der unbemerkt sensible Informationen von Ihrem Computer stehlen kann, wie die neuesten Untersuchungen von Forcepoint X-Labs zeigen.
Der Betrug beginnt mit einer E-Mail, die oft vorgibt, „Facturas pendientes de pago” (ausstehende Rechnungen) von einer Person namens Brezo Sánchez zu sein. Die E-Mail enthält eine angehängte Office-Datei mit der Erweiterung .xlam. Wird dieser Anhang geöffnet, erscheint die Datei leer oder beschädigt, während die Malware bereits im Hintergrund damit beginnt, ihr Unwesen zu treiben.
In der angehängten Office-Datei befindet sich eine versteckte Komponente namens oleObject1.bin, die einen verschlüsselten Code namens Shellcode enthält. Dieser Shellcode ist ein kleines Programm, das sofort auf die Webadresse hxxp://alpinreisan1com/UXOexe zugreift, um das eigentliche Schadprogramm, eine ausführbare Datei namens UXO.exe, herunterzuladen. Dieses Programm startet dann die zweite Stufe und lädt eine weitere DLL-Datei namens DriverFixPro.dll in den Arbeitsspeicher des Computers.
Dieser Download erfolgt mithilfe einer DLL-Injektion. Dabei handelt es sich um eine hinterhältige Methode, um ein schädliches Programm direkt in den Arbeitsspeicher des Computers zu laden, ohne es zuvor als normale Datei zu speichern. Diese DLL führt letztendlich eine Prozessinjektion durch, bei der der Schadcode innerhalb eines normalen, harmlosen Programms auf dem Computer ausgeführt wird. Dieser endgültig injizierte Code gehört zur XWorm-RAT-Familie.
Die Malware ermöglicht es Cyberkriminellen nun, das infizierte System vollständig fernzusteuern. So können die Angreifer nicht nur Daten stehlen, sondern auch Tastenanschläge protokollieren, um so Passwörter und andere Zugangsdaten zu erhalten. Schließlich verbindet sich das XWorm-Programm mit einem Command & Control (C2)-Server, genauer gesagt mit 158.94.209180, um alle gestohlenen Daten des Opfers an die Angreifer zu senden.
Da die Malware innerhalb einer vertrauenswürdigen Anwendung ausgeführt wird, entzieht sie sich der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Um zu vermeiden, selbst Opfer eines solchen Angriffs zu werden, sollten Nutzer Dateianhänge aus unbekannten Quellen nicht einfach öffnen, insbesondere dann nicht, wenn sie die Dateiendungen .xlam oder .bin aufweisen.
Der Betrug beginnt mit einer E-Mail, die oft vorgibt, „Facturas pendientes de pago” (ausstehende Rechnungen) von einer Person namens Brezo Sánchez zu sein. Die E-Mail enthält eine angehängte Office-Datei mit der Erweiterung .xlam. Wird dieser Anhang geöffnet, erscheint die Datei leer oder beschädigt, während die Malware bereits im Hintergrund damit beginnt, ihr Unwesen zu treiben.
In der angehängten Office-Datei befindet sich eine versteckte Komponente namens oleObject1.bin, die einen verschlüsselten Code namens Shellcode enthält. Dieser Shellcode ist ein kleines Programm, das sofort auf die Webadresse hxxp://alpinreisan1com/UXOexe zugreift, um das eigentliche Schadprogramm, eine ausführbare Datei namens UXO.exe, herunterzuladen. Dieses Programm startet dann die zweite Stufe und lädt eine weitere DLL-Datei namens DriverFixPro.dll in den Arbeitsspeicher des Computers.
Dieser Download erfolgt mithilfe einer DLL-Injektion. Dabei handelt es sich um eine hinterhältige Methode, um ein schädliches Programm direkt in den Arbeitsspeicher des Computers zu laden, ohne es zuvor als normale Datei zu speichern. Diese DLL führt letztendlich eine Prozessinjektion durch, bei der der Schadcode innerhalb eines normalen, harmlosen Programms auf dem Computer ausgeführt wird. Dieser endgültig injizierte Code gehört zur XWorm-RAT-Familie.
Die Malware ermöglicht es Cyberkriminellen nun, das infizierte System vollständig fernzusteuern. So können die Angreifer nicht nur Daten stehlen, sondern auch Tastenanschläge protokollieren, um so Passwörter und andere Zugangsdaten zu erhalten. Schließlich verbindet sich das XWorm-Programm mit einem Command & Control (C2)-Server, genauer gesagt mit 158.94.209180, um alle gestohlenen Daten des Opfers an die Angreifer zu senden.
Da die Malware innerhalb einer vertrauenswürdigen Anwendung ausgeführt wird, entzieht sie sich der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Um zu vermeiden, selbst Opfer eines solchen Angriffs zu werden, sollten Nutzer Dateianhänge aus unbekannten Quellen nicht einfach öffnen, insbesondere dann nicht, wenn sie die Dateiendungen .xlam oder .bin aufweisen.
