Pesquisadores de segurança da Fortinet identificaram uma nova campanha cibercriminosa que usa e-mails corporativos falsos para instalar o XWorm, um programa malicioso capaz de assumir controle total de computadores com Windows, tudo isso sem que a vítima perceba nada de errado.O ataque explora uma falha de segurança descoberta em 2018, ainda presente em sistemas desatualizados, e distribui uma versão nova do XWorm, malware vendido abertamente em marketplaces do Telegram e considerado uma das ferramentas de acesso remoto não autorizado mais ativas do mundo.Um e-mail aparentemente inofensivoO ataque começa de forma simples: um e-mail de phishing, golpe em que criminosos se passam por pessoas ou empresas legítimas, chega na caixa de entrada da vítima com um anexo no formato .XLAM, um tipo especial de arquivo do Excel chamado de suplemento. A mensagem imita comunicações corporativas comuns, como pedidos de pagamento, ordens de compra ou documentos bancários, e instrui o destinatário a abrir o anexo para ver mais detalhes. Os e-mails foram identificados em múltiplos idiomas, o que indica que a campanha está ativa em diferentes países. Ao abrir o arquivo, o ataque começa de verdade.Vulnerabilidade é explorada há 6 anosDentro da planilha há um objeto OLE, tecnologia da Microsoft que permite incorporar arquivos dentro de outros arquivos, como um gráfico do Excel colado em um documento Word configurado para carregar automaticamente assim que o arquivo é aberto. Esse objeto é propositalmente corrompido e processado por um componente antigo do Office chamado EQNEDT32.EXE, o editor de equações matemáticas do sistema.Esse componente tem uma falha catalogada como CVE-2018-0802, que permite que um atacante execute qualquer código na máquina da vítima à distância, o que em segurança se chama de execução remota de código (RCE). Apesar de ter sido descoberta há seis anos, a vulnerabilidade ainda é explorada ativamente porque muitas máquinas simplesmente não são atualizadas.Um arquivo escondido dentro de uma imagemQuando a falha é ativada, um pequeno trecho de código, chamado de shellcode, é executado em segundo plano. Ele se conecta à internet usando funções nativas do Windows e baixa um arquivo do tipo HTA, uma espécie de aplicativo feito com HTML que roda com acesso total ao sistema, diferente de uma página da web comum, para a pasta de dados do usuário. Em seguida, executa esse arquivo automaticamente.O HTA está propositalmente embaralhado para dificultar análises de segurança. Por baixo da confusão, ele roda um código que aciona o PowerShell, ferramenta legítima do Windows usada para automação, com uma sequência de instruções disfarçada em um formato de texto codificado chamado Base64.O PowerShell então baixa uma imagem JPEG de um serviço legítimo de hospedagem, uma estratégia que ajuda o ataque a passar pelos filtros de segurança, já que o endereço não parece suspeito. Mas a imagem não é só uma imagem. Usando uma técnica chamada esteganografia, esconder informações dentro de arquivos aparentemente normais, os criminosos embutiram um módulo de código completo dentro do arquivo, escondido entre dois marcadores de texto invisíveis ao olhar humano.Esse módulo é extraído, decodificado e carregado diretamente na memória do computador, sem jamais ser gravado no disco. A técnica se chama fileless (sem arquivo) e é usada justamente para burlar antivírus tradicionais, que monitoram principalmente o que é salvo no HD.Vírus se esconde dentro do programa da MicrosoftCom o módulo ativo na memória, ele baixa o payload final, o XWorm. Para executá-lo sem levantar suspeitas, usa uma técnica chamada de esvaziamento de processo.O módulo abre um programa legítimo da Microsoft — o Msbuild.exe, usado para compilar software — mas o inicia pausado, sem rodar de fato. Nesse intervalo, o código malicioso é injetado dentro do processo. Quando o Msbuild é liberado para rodar, ele executa o XWorm no lugar do seu código original. Para ferramentas de monitoramento superficiais, parece que é só o Msbuild funcionando normalmente.O que o XWorm faz com o computador da vítimaA versão identificada na campanha é o XWorm 7.2, lançado entre o fim de 2025 e início de 2026. Uma vez ativo, o malware estabelece contato com um servidor de comando e controle (C2), a central de operações dos criminosos, usando criptografia AES, o mesmo padrão usado por bancos, para que o tráfego não possa ser interceptado e lido.O primeiro dado enviado é um pacote com informações da máquina da vítima: nome de usuário, versão do Windows, hardware, antivírus instalados. A partir daí, o criminoso tem controle quase total.O XWorm permite controlar mouse e teclado remotamente, fazer capturas de tela, acessar câmera e microfone, roubar senhas, cookies, tokens de login e chaves de Wi-Fi. Também é possível gerenciar arquivos, executar comandos no sistema operacional e até abrir um chat de texto ou voz com a vítima. Em casos mais graves, o malware pode ser usado para lançar ataques DDoS, quando um servidor é derrubado por excesso de requisições, ou aplicar ransomware, bloqueando os arquivos da vítima e exigindo resgate.A arquitetura modular do XWorm, com suporte a mais de 50 plugins, permite que os criminosos expandam as capacidades do malware sem precisar reescrevê-lo do zero, o que o torna uma ameaça em constante evolução.Como se proteger?A falha explorada pelo ataque foi descoberta em 2018 e a Microsoft lançou correção na época. Com isso em mente, algumas práticas reduzem bastante o risco.Mantenha o Windows e o Office sempre atualizados: a vulnerabilidade explorada nessa campanha já tem correção disponível há anos e sistemas atualizados não são afetados por ela;Desconfie de anexos não solicitados: arquivos .XLAM enviados por e-mail sem contexto claro não devem ser abertos sem confirmação por outro canal, mesmo que a mensagem pareça vir de um fornecedor ou parceiro conhecido;Fique atento ao senso de urgência: mensagens que pressionam o destinatário a abrir um anexo rapidamente são, em geral, parte da estratégia do golpe;Desabilite o editor de equações do Office (EQNEDT32.EXE): esse é um componente antigo, não usado no dia a dia pela maioria dos usuários, mas que segue ativo em instalações padrão do pacote. A desativação pode ser feita via registro do Windows;Use soluções de segurança que monitoram o comportamento de processos: antivírus tradicionais monitoram principalmente arquivos salvos no disco — e esse ataque, por design, nunca grava nada no HD. Ferramentas que analisam o comportamento dos programas em tempo real têm mais chance de detectar ameaças desse tipo.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.