黑客正在发送包含恶意Office文件的虚假发票电子邮件，这些文件会在Windows系统上安装XWorm RAT，从而允许完全远程访问和数据窃取。了解如何利用Shellcode和进程注入窃取数据，以及如何防范这种持续存在的威胁。

Forcepoint X-Labs的最新研究显示，新一波电子邮件攻击正在兴起，攻击者利用伪造的发票文件诱骗人们安装危险的XWorm RAT（远程访问木马），该木马能够悄悄窃取计算机中的敏感信息。

诈骗始于一封电子邮件，通常伪装成“Facturas pendientes de pago”（待付款发票），发件人名为Brezo Sánchez。邮件中包含一个扩展名为.xlam的Office文件附件。

X-Labs的研究人员提到，当您打开该文件时，它可能看起来是空白或损坏的，但损害已经开始。

众所周知，网络攻击通常遵循一系列步骤，而这一步骤则非常详细。附件Office文件中隐藏着一个名为oleObject1.bin的组件，其中包含一段加密代码，称为Shellcode。该Shellcode是一个小程序，会立即下载攻击的下一部分。

Shellcode会访问特定的网址，hxxp://alpinreisan1com/UXOexe下载主恶意程序，即一个名为UXO.exe的可执行文件。然后，该程序会启动第二阶段，将另一个有害的DLL文件加载到计算机内存中（DriverFixPro.dll）。

这种加载是通过反射式DLL注入（一种偷偷摸摸的方式，将有害程序直接加载到计算机内存中，而无需先将其保存为常规文件）进行的。该DLL最终会执行进程注入，即强制恶意代码在计算机上正常、无害的程序中运行。最终注入的代码属于XWorm RAT家族。

Forcepoint的高级研究员Prashant Kumar在博客文章中解释说，XWorm的功能使其能够完全远程控制受感染的系统，从窃取文件到记录击键。

通过进程注入，恶意软件在受信任的应用程序中秘密运行，并成功保持驻留，同时避免被检测到。最后，XWorm程序连接到命令与控制(C2)服务器，具体来说158.94.209.180，就是将所有受害者窃取的数据发送给攻击者。

这项关于多阶段攻击的重要研究已分享。然而，值得注意的是，这并非XWorm威胁今年首次出现。

2025年1月，曾报道了XWorm攻击活动，该活动入侵了全球超过18459台设备，窃取了浏览器密码和Discord令牌。随后，在2025年3月，Veriti的研究显示，XWorm正在使用亚马逊网络服务（AWS）S3存储等可信平台来传播其有害文件。

为了保护自己免受此类攻击，请谨慎对待附件，尤其是以.xlam或结尾的附件.bin，通过致电发件人来验证意外发票，并定期更新您的操作系统和安全软件。