Excel prilozi u lažnim mejlovima šire XWorm 7.2

Opisi virusa, 24.02.2026, 10:30 AM

Istraživači iz Fortinet FortiGuard Labs-a upozoravaju na novu kampanju koja koristi lažne poslovne mejlove za širenje XWorm malvera na Windows računarima. Poruke se predstavljaju kao zahtevi za potvrdu plaćanja, narudžbenice ili „potpisani bankovni dokumenti“.

U prilogu se najčešće nalazi Excel fajl koji iskorišćava staru ranjivost (CVE-2018-0802). Nakon otvaranja, pokreće se skriveni HTA skript koji putem PowerShell-a preuzima naizgled bezazlenu JPEG sliku. Međutim, unutar te slike, između oznaka „BaseStart“ i „BaseEnd“, nalazi se kod malvera.

XWorm 7.2 je trojanski virus sa daljinskim pristupom (Remote Access Trojan (RAT) koji napadačima omogućava potpunu daljinsku kontrolu nad kompromitovanim sistemom. XWorm je u opticaju od 2022. godine, ali nova verzija je unapređena i aktivno se prodaje na Telegram tržištima od kraja 2025.

Jedna od ključnih tehnika u ovoj kampanji je tzv. process hollowing. Malver pokreće legitimni Windows program (Msbuild.exe), zatim ga pauzira i briše njegov kod i ubacuje sopstveni. Sistem i antivirus vide pouzdan sistemski alat, dok se u pozadini zapravo izvršava XWorm.

Nakon infekcije, malver se povezuje sa komandno-kontrolnim (C2) serverom preko porta 6000, uz AES enkripciju.

XWorm je modularan i podržava više od 50 dodataka. Može da krade lozinke, Wi-Fi lozinke, kolačiće pregledača, beleži pritiske na tastaturi, pristupi veb kameri, pa čak i pokreće DDoS ili ransomware napade. Zbog skrivanja u sistemskom registru, uklanjanje može biti otežano.

Stručnjaci savetuju redovno ažuriranje softvera i izbegavanje otvaranja neočekivanih priloga, posebno Excel fajlova koji dolaze iz nepoznatih izvora.