Троян XWorm 7.2 маскируется под JPEG-файл и крадёт данные через Excel

Троян удалённого доступа XWorm версии 7.2 распространяют в новой фишинговой кампании. Специалисты FortiGuard Labs предупреждают, что злоумышленники рассылают письма с темами о запросах платёжных данных или подписанных банковских документах. Подобные сообщения эксперты советуют сразу удалять.

Атакующие используют методы социальной инженерии, чтобы письма выглядели срочными и важными. Исследователи обнаружили множество вариантов текстов на разных языках. Чаще всего мошенники маскируют их под деловые запросы, проверку платежей, заказы на покупку или банковские документы для отгрузок.

К письмам прикрепляют файлы Excel. При их открытии используется уязвимость CVE-2018-0802 и запускается скрытый скрипт в формате HTA. Через PowerShell он загружает файл, который выглядит как обычное изображение JPEG. Внутри последнего между специальными маркерами BaseStart и BaseEnd спрятана вредоносная программа.

После внедрения малварь подключается к командному серверу по адресу berlin101.com через порт 6000. Для защиты и сокрытия украденных данных используется шифрование AES. XWorm, которое представляет особую опасность из-за модульной архитектуры. Хакеры могут добавлять более 50 различных плагинов для расширения возможностей.

В текущей версии троян способен красть ключи доступа к сетям Wi-Fi, пароли и cookies из браузеров. Программа может вести шпионаж через веб-камеру и регистрировать все нажатия клавиш. Также в неё встроены функции для запуска программ-вымогателей и организации DDoS-атак на веб-сайты.

Исследователи отмечают, что XWorm хорошо скрывается в системном реестре Windows. Из-за этого его крайне сложно обнаружить и удалить после закрепления в системе. Троян существует с 2022 года, но версия 7.2 является гораздо более продвинутой. Она появилась на торговых площадках в Telegram в конце 2025-го и начале 2026 года. Как отметили эксперты, в кампании не используются прорывные техники, а её изощрённость заключается в качестве компоновки методов.