【安全圈】黑客利用伪造发票通过 Office 文件传播 XWorm 远控木马

关键词

网络攻击

近日，安全研究机构 Forcepoint X‑Labs 报告称，一波新型电子邮件攻击正在活跃传播，攻击者通过伪造的“待付款发票”邮件，借助带有 .xlam 扩展名的 Office 附件，诱使收件人打开并最终在受害者电脑上部署 XWorm 远程访问木马（RAT）。这类伪装手法看似普通，但其攻击流程精细且具有多阶段隐蔽性，一旦中招，后果严重。

攻击通常以一封看似来自名为 Brezo Sánchez 的发件人的发票邮件为起点，邮件中附带的 .xlam 文件打开后可能显示为空白或损坏，这往往误导用户认为只是文件损坏，实则攻击已经开始。研究人员在该 Office 文件内部发现了一个名为 oleObject1.bin 的隐藏组件，里面封装着一段被加密的 shellcode。这个小型的恶意代码一旦被触发，便会立即向攻击者控制的地址请求并下载下一阶段的有效载荷。

下载到的主要可执行文件通常名为 UXO.exe。该程序随即在内存中加载另一个恶意 DLL（例如报告中提到的 DriverFixPro.dll），并采用反射式 DLL 注入（reflective DLL injection）技术在内存中运行该模块，而不会将恶意文件以常规文件形式写入磁盘。随后，恶意 DLL 会进一步对系统中一个正常进程实施进程注入，使恶意代码隐藏在受信任程序之内持续运行并逃避常规检测。最终被注入的代码属于 XWorm RAT 家族，具备远程控制、窃取文件和记录按键等全面能力。

Forcepoint 的高级研究员 Prashant Kumar 在分析中指出，XWorm 通过进程注入在受信应用内部悄然执行，从而既能维持长期存在性，又能降低被安全产品发现的概率。被感染的系统会联系攻击者的指挥控制服务器（C2），把收集到的敏感数据上传给对方。研究还指出，这并非 XWorm 首次露面：今年一月曾有报告称该家族的活动影响了逾 18,000 台设备，窃取浏览器密码与 Discord 令牌；三月的研究则发现攻击者曾利用诸如 AWS S3 之类的信誉平台分发恶意文件，彰显其战术的灵活与隐蔽。

面对这种以文档为载体、分阶段加载的攻击，防御上要格外谨慎。对于任何未预期收到的发票或财务类附件，应先与发件人通过电话或其他独立渠道核实其真实性，不要仅凭邮件内容或附件显示决定是否打开。注意避免直接打开或启用可疑 Office 附件中的宏或扩展，尤其是 .xlam、.bin 等非典型扩展名。与此同时，保持操作系统与安全防护软件最新、及时打补丁，并采用具备内存保护与行为检测能力的安全解决方案，均有助于降低被此类多阶段攻击侵害的风险。

总之，这类利用伪造发票和恶意 Office 文件传播的攻击，既利用了人性的信任也借助了技术上的隐蔽手法，任何组织和个人都应将其列为高优先级防护对象，加强邮件网关过滤、员工安全意识培训和终端行为检测，以减少被远控木马入侵带来的损失。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！