Falha no Excel esconde malware perigoso em imagem JPEG
Pesquisadores de segurança digital identificaram uma nova campanha de phishing que explora uma vulnerabilidade do Microsoft Excel para disseminar o trojan XWorm 7.2. O ataque é especialmente perigoso por se disfarçar em uma simples imagem JPEG, o que dificulta sua detecção mesmo por antivírus robustos.
Tabela de conteúdos
Como o ataque funciona
O XWorm 7.2 chega às vítimas por meio de e-mails com aparência legítima — geralmente associados a documentos bancários ou solicitações de pagamento. Ao abrir o anexo, que parece um simples arquivo do Excel, o sistema é explorado por um script que executa comandos via PowerShell para baixar uma imagem JPEG. O que parece uma foto inofensiva contém, na realidade, o código do malware.
O arquivo JPEG esconde o trojan, que usa o executável legítimo do Windows, o Msbuild.exe, para injetar o código malicioso. Essa tática inteligente confunde mecanismos de segurança, pois o processo parece ser parte do funcionamento normal do sistema operacional.
A evolução do XWorm 7.2
Embora o XWorm tenha sido identificado pela primeira vez em 2022, sua nova versão, detectada por especialistas da Fortinet, é mais sofisticada e letal. Os pesquisadores explicam que a cepa atual usa estratégias mais complexas de ocultação, é capaz de se multiplicar e resistir a ferramentas de remoção, além de estar sendo distribuída em canais do Telegram voltados a cibercriminosos.
Além disso, o XWorm 7.2 adiciona módulos de espionagem que permitem gravar o teclado da vítima, capturar imagens da webcam e obter acesso a senhas e cookies armazenados no navegador. Com esses recursos, os criminosos podem coletar dados pessoais e corporativos em poucos minutos.
Engenharia social e phishing corporativo
Os golpistas exploram a engenharia social como principal porta de entrada. Em contextos corporativos, mensagens de aparência profissional enganam usuários que acreditam estar respondendo a pedidos de fornecedores ou clientes. A urgência é um fator psicológico importante: o e-mail solicita ações imediatas, como confirmações de pagamentos.
Ao abrir o suposto documento, a vítima sem perceber ativa o processo de infecção. A execução oculta de comandos faz com que a imagem maliciosa seja instalada sem nenhuma notificação visual. Em segundos, o computador torna-se vulnerável a um ataque remoto persistente.
Roubo de credenciais e controle total
Durante as investigações, os analistas constataram que o XWorm 7.2 é capaz de instalar mais de 50 plugins adicionais, ampliando enormemente suas capacidades. Esses complementos incluem módulos de roubo de credenciais, coleta de chaves Wi-Fi, ransomware e até ferramentas para ataques DDoS (negação de serviço).
O malware também realiza a coleta de cookies e informações de navegação dos principais navegadores, permitindo o sequestro de sessões online e invasões de contas sem necessidade de senha. Com o controle remoto ativado, o invasor pode manipular completamente o PC alvo, instalar novos programas, roubar arquivos e apagar evidências.
Por que o antivírus não detecta
A utilização de componentes nativos do Windows, como o Msbuild.exe e o PowerShell, faz com que o ataque pareça legítimo aos olhos dos antivírus. Por isso, mesmo softwares de segurança avançados não conseguem identificar o comportamento malicioso — o que torna o XWorm 7.2 uma das ameaças mais sofisticadas em circulação atualmente.
Prevenção e medidas de proteção
- Evite abrir anexos desconhecidos: especialmente arquivos do Excel (.xls, .xlsx) enviados por e-mail.
- Mantenha o Windows e o Microsoft Office atualizados: isso reduz vulnerabilidades exploráveis.
- Use proteção de endpoint corporativa: com monitoramento comportamental avançado.
- Verifique a origem dos e-mails: mesmo mensagens com logos corporativos podem ser falsificadas.
- Eduque os colaboradores: campanhas de conscientização reduzem os riscos de phishing.
Impacto global e origem do ataque
Segundo o portal Hack Read, o XWorm 7.2 vem sendo disseminado em diversos países através de fóruns cibercriminosos e canais clandestinos. Muitas dessas versões são personalizadas para escapar de defesas específicas, o que torna a ameaça ainda mais imprevisível. A origem principal dos ataques ainda está sob investigação, mas indícios apontam para grupos experientes ativos em comunidades russas e asiáticas do submundo digital.
Declaração de especialistas
“Esse tipo de ataque é um bom exemplo de como a engenharia social continua sendo a arma mais eficaz dos hackers. Mesmo a melhor tecnologia de segurança pode falhar se o fator humano for explorado.”
Equipe de Pesquisa da Fortinet
O papel das empresas de segurança
Companhias de cibersegurança como Fortinet, Avast e Kaspersky estão monitorando novas variações do XWorm para desenvolver assinaturas de detecção mais eficientes. No entanto, como grande parte do ataque depende da interação do usuário, a conscientização segue sendo a primeira linha de defesa.
Conclusão
O caso do XWorm 7.2 reforça a importância de uma cultura de segurança digital contínua. Com técnicas de camuflagem cada vez mais avançadas, o simples ato de abrir um e-mail aparentemente legítimo pode comprometer toda a infraestrutura de uma empresa. Estar atento aos sinais de fraude e manter sistemas atualizados é a maneira mais eficaz de reduzir riscos.
Perguntas frequentes sobre Falha no Excel
Como identificar um ataque de phishing com XWorm 7.2?
Desconfie de e-mails que pedem ações urgentes, principalmente com anexos do Excel (.xls/.xlsx). Verifique o remetente, erros de linguagem e links suspeitos. O XWorm costuma vir camuflado em mensagens corporativas falsas.
O antivírus pode detectar o XWorm 7.2?
A detecção é difícil, pois o malware usa ferramentas legítimas do Windows, como o Msbuild.exe. É recomendável adotar soluções EDR e realizar varreduras comportamentais regulares.
O que fazer se o computador for infectado?
Desconecte o aparelho da internet imediatamente, faça cópias de segurança, e procure suporte técnico especializado. Se possível, realize uma restauração completa do sistema.
