Ameaça oculta de malware em Excel

Quando uma planilha se torna porta de entrada: A ameaça oculta de malware em Excel

Embora o Microsoft Excel seja uma das ferramentas mais utilizadas em ambientes corporativos e domésticos no mundo, não é apenas um software de produtividade — ele também tem sido explorado repetidamente por cibercriminosos como vetor de infecção. Uma campanha recente detectada por pesquisadores de segurança da Fortinet mostra justamente como uma planilha aparentemente inofensiva pode entregar um malware avançado capaz de dar controle total do PC à distância.

 

1. A armadilha na caixa de entrada: Phishing e engenharia social

Os ataques começam quase sempre da mesma forma: um e-mail de phishing cuidadosamente elaborado chega à caixa de entrada da vítima com um anexo em formato .XLAM — um suplemento do Excel que pode armazenar funcionalidades estendidas.

Os criminosos geralmente se passam por empresas legítimas, enviando mensagens que parecem nenhum pouco suspeitas, como:

  • pedidos de pagamento pendentes;

  • documentos financeiros urgentes;

  • relatórios importantes que “precisam ser analisados”.

A estratégia de engenharia social é usar gatilhos psicológicos como urgência, autoridade ou familiaridade para que a vítima abra o arquivo sem suspeitar de nada.

Esse tipo de técnica não é novidade: ataques semelhantes explorando anexos do Excel já foram observados em 2024 distribuindo trojans RAT (Remote Access Trojan) por meio de exploits antigos de vulnerabilidades em Office.

 

2. A vulnerabilidade por trás do ataque: Execução remota de código

O truque aproveitado pelos criminosos está em uma vulnerabilidade antiga identificada em 2018 (CVE-2018-0802), ainda presente em muitas instalações desatualizadas do Office.

Essa brecha está relacionada ao componente EQNEDT32.EXE, o antigo editor de equações da Microsoft, que pode ser induzido a executar código arbitrário quando recebe um objeto OLE especialmente construído dentro de uma planilha.

Mesmo tratada há anos com uma correção oficial, máquinas sem atualizações continuam vulneráveis. É justamente essa lacuna de atualização que torna o ataque possível, pois o Office ainda processa o objeto malicioso sem questionar sua origem.

 

3. Da planilha ao controle total: O caminho do XWorm

Uma vez que a vulnerabilidade é ativada, o ataque se desdobra em múltiplas fases sofisticadas:

3.1. Shellcode e download do payload

Um pequeno trecho de código (conhecido como shellcode) é executado silenciosamente após abrir a planilha. Ele se conecta à internet e baixa um arquivo HTA (HTML Application), que roda como programa e não como página web comum.

 

3.2. Esteganografia e fuga à detecção

O HTA, por sua vez, baixa uma imagem JPEG de um serviço de hospedagem legítimo. Porém, a imagem contém código escondido por meio de esteganografia — técnica de ocultação de dados dentro de um arquivo aparentemente inofensivo.

Esse código é decodificado diretamente na memória, sem nunca ser escrito no disco, o que torna o ataque fileless — ou seja, sem artefatos tradicionais para detecção por antivírus convencionais.

 

3.3. Injeção em processo e ativação do malware

O módulo extraído usa uma técnica chamada process hollowing para injetar o payload final — o XWorm 7.2 — dentro de um processo legítimo do Windows (Msbuild.exe). Assim, o malware se disfarça como uma aplicação confiável em execução.

 

4. Capacidades do XWorm: Um RAT completo

Uma vez implantado, o XWorm dá ao atacante praticamente controle total sobre a máquina infectada. Entre suas funcionalidades estão:

  • controle remoto de mouse e teclado;

  • captura de tela;

  • acesso a câmera e microfone;

  • roubo de senhas, cookies e tokens;

  • gerenciamento de arquivos;

  • execução remota de comandos;

  • comunicação direta com a vítima.

Além disso, o malware possui arquitetura modular com mais de 50 plugins, permitindo que novas funcionalidades sejam adicionadas pelos operadores criminosos sem reescrever o código básico.

Esse tipo de ferramenta é classificado como RAT (Remote Access Trojan), semelhante a outros trojans como o Agent Tesla, que também é entregue por anexos de phishing e permite roubo de informações e controle remoto.

 

5. Por que essa ameaça é perigosa?

Esse ataque combina vários fatores que o tornam particularmente preocupante:

Exploração de vulnerabilidades antigas

Mesmo vulnerabilidades com mais de cinco anos podem ser exploradas se sistemas não forem atualizados — um ponto crítico em ambientes corporativos com políticas de atualização deficientes.

 

Técnicas de ocultação e evasão

Ao operar fileless e injetar código em processos legítimos, o malware dificulta a detecção por soluções baseadas em assinatura ou análise estática.

 

Engenharia social eficaz

A isca do e-mail convincente, acompanhada de um anexo aparentemente legítimo, explora precisamente um dos maiores vetores de ataque: o fator humano.

 

6. Boas práticas para mitigação

Para reduzir o risco de ataques desse tipo, organizações e usuários devem adotar medidas concretas:

  • Manter o Windows e o Microsoft Office sempre atualizados, garantindo que correções de vulnerabilidades sejam aplicadas.

  • Desconfiar de anexos não solicitados, especialmente anexos do tipo XLAM ou com solicitações urgentes para habilitar conteúdo.

  • Desabilitar componentes antigos e desnecessários, como o editor de equações (EQNEDT32.EXE) para reduzir a superfície de ataque.

  • Empregar soluções de segurança comportamental, capazes de detectar atividades anômalas em tempo real, em vez de depender apenas de assinaturas.

 

Conclusão

O incidente envolvendo uma planilha do Excel infectada com o malware XWorm 7.2 é um lembrete incisivo de que malware moderno combina engenharia social, exploração de falhas antigas e técnicas avançadas de evasão para alcançar objetivos maliciosos.

O uso de formatos aparentemente inofensivos como anexos corporativos é uma tática tão eficaz quanto antiga, mas permanece relevante devido à persistência de falhas em sistemas desatualizados e à capacidade dos atacantes de camuflar suas cargas maliciosas com engenharia social sofisticada.

Para profissionais de TI e segurança da informação, este caso reforça a importância de uma abordagem holística de defesa — que combine atualização contínua de software, conscientização dos usuários e soluções de segurança capazes de identificar comportamento anômalo em vez de apenas buscar por arquivos maliciosos no disco.

 

Referências Bibliográficas