El contable abrió una factura y el hacker tomó el control de su equipo: el engaño funcionó
En pocas palabras: por qué no debes fiarte ciegamente del asunto del correo electrónico.
Una nueva campaña de envío de correos maliciosos fue detectada por los especialistas de Forcepoint X-Labs. Según sus datos, los atacantes utilizan facturas falsas para infectar equipos con Windows con el troyano remoto XWorm RAT. Este troyano otorga a los atacantes control total del sistema y permite robar en secreto datos confidenciales.
El envío comienza con correos cuyo asunto es «Facturas impagadas». Al correo se adjunta un archivo con extensión .xlam, disfrazado como un documento de Microsoft Office. Al abrirlo puede parecer dañado o vacío, pero en realidad ya inicia la cadena maliciosa.
Dentro del adjunto se oculta un objeto oleObject1.bin con shellcode cifrado. Este inicia la descarga del siguiente componente desde un recurso remoto. El archivo ejecutable resultante UXO.exe carga en memoria una biblioteca adicional DriverFixPro.dll mediante Reflective DLL Injection, es decir, directamente en la memoria RAM sin guardarla en el disco. Luego la biblioteca realiza una inyección en un proceso, implantando código malicioso en una aplicación legítima. Es en esta etapa cuando se activa XWorm RAT.
El investigador de Forcepoint Prashant Kumar señala que XWorm puede registrar pulsaciones de teclas, copiar archivos y controlar el sistema de forma remota. Gracias a la técnica empleada, se oculta dentro de un proceso de confianza, lo que dificulta su detección. Para transmitir la información robada, el programa se conecta a un servidor de control remoto.
XWorm ya no se usa por primera vez en ataques masivos. En enero de 2025, a través de él fueron infectados más de 18 000 dispositivos, desde los que se robaron contraseñas de navegadores y tokens de Discord. En julio, los investigadores de Netskope Threat Labs registraron una nueva técnica de propagación — mediante VBScript.
Para reducir el riesgo de infección, los especialistas recomiendan ser más cautelosos con los adjuntos, especialmente con las extensiones .xlam y .bin, verificar facturas inesperadas por teléfono y no posponer la actualización de los sistemas y del software de seguridad.
¿Estás cansado de que Internet sepa todo sobre ti?