Una nueva campaña de phishing usa correos que simulan facturas pendientes de pago con un archivo adjunto .xlam. Al abrirlo se ejecuta un componente oculto que inicia la cadena de infección y, finalmente, se instala el RAT XWorm (Remote Access Trojan), capaz de obtener acceso remoto y exfiltrar información sensible del equipo.
La técnica aprovecha mecanismos ofuscados dentro del documento Office para evitar la detección inicial y aparentar un archivo corrupto o en blanco.
La afectación principal es la pérdida de confidencialidad y control del endpoint comprometido; además, la campaña utiliza técnicas avanzadas (carga en memoria e inyección en procesos) que dificultan la detección por soluciones que solo analizan archivos en disco.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Dentro del archivo adjunto de Office hay un componente oculto llamado oleObject1.bin, que contiene un código cifrado, llamado shellcode. Este shellcode es un pequeño programa que descarga inmediatamente la siguiente parte del ataque.
El shellcode accede a una dirección web específica, hxxp://alpinreisan1com/UXOexe, para descargar el programa malicioso principal, un archivo ejecutable llamado UXO.exe. Este programa inicia la segunda etapa: carga otro archivo DLL dañino en la memoria del ordenador (DriverFixPro.dll). Esta carga se realiza mediante inyección reflexiva de DLL (una forma disimulada de cargar un programa dañino directamente en la memoria del ordenador sin guardarlo previamente como un archivo normal).
Esta DLL realiza una inyección de proceso, que consiste en forzar la ejecución del código malicioso dentro de un programa normal e inofensivo del ordenador. Este código inyectado final pertenece a la familia XWorm RAT.
