XWorm RAT: Hacker verbreiten Malwareüber gefälschte Rechnungen
ID: 2202148
Hacker versenden derzeit E-Mails mit manipulierten Office-Dateien, die die Malware XWorm RAT auf Windows-Systemen installieren und den Kriminellen vollständigen Fernzugriff ermöglichen.
Der Betrug beginnt mit einer E-Mail, die oft vorgibt, „Facturas pendientes de pago” (ausstehende Rechnungen) von einer Person namens Brezo Sánchez zu sein. Die E-Mail enthält eine angehängte Office-Datei mit der Erweiterung .xlam. Wird dieser Anhang geöffnet, erscheint die Datei leer oder beschädigt, während die Malware bereits im Hintergrund damit beginnt, ihr Unwesen zu treiben.
In der angehängten Office-Datei befindet sich eine versteckte Komponente namens oleObject1.bin, die einen verschlüsselten Code namens Shellcode enthält. Dieser Shellcode ist ein kleines Programm, das sofort auf die Webadresse hxxp://alpinreisan1com/UXOexe zugreift, um das eigentliche Schadprogramm, eine ausführbare Datei namens UXO.exe, herunterzuladen. Dieses Programm startet dann die zweite Stufe und lädt eine weitere DLL-Datei namens DriverFixPro.dll in den Arbeitsspeicher des Computers.
Dieser Download erfolgt mithilfe einer DLL-Injektion. Dabei handelt es sich um eine hinterhältige Methode, um ein schädliches Programm direkt in den Arbeitsspeicher des Computers zu laden, ohne es zuvor als normale Datei zu speichern. Diese DLL führt letztendlich eine Prozessinjektion durch, bei der der Schadcode innerhalb eines normalen, harmlosen Programms auf dem Computer ausgeführt wird. Dieser endgültig injizierte Code gehört zur XWorm-RAT-Familie.
Die Malware ermöglicht es Cyberkriminellen nun, das infizierte System vollständig fernzusteuern. So können die Angreifer nicht nur Daten stehlen, sondern auch Tastenanschläge protokollieren, um so Passwörter und andere Zugangsdaten zu erhalten. Schließlich verbindet sich das XWorm-Programm mit einem Command & Control (C2)-Server, genauer gesagt mit 158.94.209180, um alle gestohlenen Daten des Opfers an die Angreifer zu senden.
Da die Malware innerhalb einer vertrauenswürdigen Anwendung ausgeführt wird, entzieht sie sich der Entdeckung durch herkömmliche Sicherheitsmaßnahmen. Um zu vermeiden, selbst Opfer eines solchen Angriffs zu werden, sollten Nutzer Dateianhänge aus unbekannten Quellen nicht einfach öffnen, insbesondere dann nicht, wenn sie die Dateiendungen .xlam oder .bin aufweisen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 01.10.2025 - 10:56 Uhr
Sprache: Deutsch
News-ID 2202148
Anzahl Zeichen: 3655
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 (6321) 484460
Kategorie:
Internet-Portale
Diese Pressemitteilung wurde bisher 131 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"XWorm RAT: Hacker verbreiten Malwareüber gefälschte Rechnungen"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
