Forcepoint X-Labs 的最新研究顯示，新一波電子郵件攻擊正在興起，駭客正在發送包含惡意 Office 文件的虛假發票電子郵件，這些文件會在 Windows 系統上安裝 XWorm RAT，從而允許完全遠端存取和資料竊取。

這類攻擊的鎖定目標明確，其詐騙始於一封電子郵件，通常偽裝成「Facturas pendientes de pago」（待付款發票），寄件者名為 Brezo Sánchez。郵件中包含一個副檔名為 .xlam 的 Office 文件附件。

X-Labs 的研究人員提到，當您打開該文件時，它可能看起來是空白或損壞的，但損害已經開始。為了保護自己免受此類攻擊，請謹慎對待附件，尤其是以 .xlam 或結尾的附件 .bin，透過致電寄件者來驗證意外發票，並定期更新您的作業系統和安全軟體。
 

這項攻擊的鏈結環環相扣：隱藏在 .xlam 附件中的是一個被加密的程式碼（Shellcode），該 Shellcode 會立即從特定網址下載主要的惡意程式，一個名為 UXO.exe 的可執行檔。接著，該程式會啟動第二階段：使用反射型 DLL 注入技術（reflective DLL injection），將另一個有害的 DLL 文件 (DriverFixPro.dll) 直接載入電腦記憶體中，繞過常規檔案系統的檢測。最終，惡意程式碼會執行「程序注入」（Process Injection），強制惡意程式碼在電腦上一個看似無害且受信任的正常程式內部執行。這個最終注入的程式碼就屬於 XWorm RAT 家族。

XWorm RAT 是一種持續性的威脅，其強大的功能允許攻擊者對受感染系統擁有完全的遠端控制權，範圍從竊取檔案到記錄鍵盤輸入（Keystrokes）。透過程序注入，該惡意軟體能夠秘密地在受信任的應用程式內部運作，成功維持持續性，同時逃避資安軟體的偵測。最後，XWorm 程式會連線到其命令與控制（C2）伺服器，將所有竊取的受害者資料傳送給攻擊者。

這不是 XWorm 威脅今年首次現蹤。在 2025 年 1 月，就有報導指出 XWorm 活動在全球造成超過 18,459 台設備受害，竊取了瀏覽器密碼和 Discord 令牌。隨後在 2025 年 3 月，研究人員也發現 XWorm 正在利用亞馬遜網路服務（AWS）S3 儲存等受信任的平台來分發其有害檔案。這顯示 XWorm 威脅正在不斷進化，並利用各種新穎的技術來規避防禦。

企業和個人應保持高度警惕，尤其是面對意外收到的發票郵件。在當前攻擊模式下，核實電子郵件的真實性，並對副檔名為 .xlam 或 .bin 的附件採取極度謹慎的態度，是防範這類高階遠端存取木馬攻擊的關鍵步驟。

資料來源：https://hackread.com/hackers-fake-invoices-xworm-rat-office-files/