{"id":24024,"date":"2026-03-05T08:00:00","date_gmt":"2026-03-05T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=24024"},"modified":"2026-03-01T12:51:59","modified_gmt":"2026-03-01T15:51:59","slug":"ameaca-oculta-de-malware-em-excel","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2026\/03\/exploits\/ameaca-oculta-de-malware-em-excel\/","title":{"rendered":"Amea\u00e7a oculta de malware em Excel"},"content":{"rendered":"\n\n\n<p style=\"text-align: justify;\" data-start=\"201\" data-end=\"290\"><strong data-start=\"204\" data-end=\"290\">Quando uma planilha se torna porta de entrada: A amea\u00e7a oculta de malware em Excel<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"292\" data-end=\"804\">Embora o <strong data-start=\"301\" data-end=\"320\">Microsoft Excel<\/strong> seja uma das ferramentas mais utilizadas em ambientes corporativos e dom\u00e9sticos no mundo, <strong data-start=\"411\" data-end=\"456\">n\u00e3o \u00e9 apenas um software de produtividade<\/strong> \u2014 ele tamb\u00e9m tem sido explorado repetidamente por cibercriminosos como vetor de infec\u00e7\u00e3o. Uma campanha recente detectada por pesquisadores de seguran\u00e7a da Fortinet mostra justamente como uma planilha aparentemente inofensiva pode entregar um <strong data-start=\"699\" data-end=\"765\">malware avan\u00e7ado capaz de dar controle total do PC \u00e0 dist\u00e2ncia<\/strong>.<\/p>\n<p data-start=\"292\" data-end=\"804\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"811\" data-end=\"883\"><strong data-start=\"815\" data-end=\"883\">1. A armadilha na caixa de entrada: Phishing e engenharia social<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"885\" data-end=\"1162\">Os ataques come\u00e7am quase sempre da mesma forma: um <strong data-start=\"936\" data-end=\"983\">e-mail de phishing cuidadosamente elaborado<\/strong> chega \u00e0 caixa de entrada da v\u00edtima com um anexo em formato <strong data-start=\"1043\" data-end=\"1052\">.XLAM<\/strong> \u2014 um suplemento do Excel que pode armazenar funcionalidades estendidas.<\/p>\n<p style=\"text-align: justify;\" data-start=\"1164\" data-end=\"1283\">Os criminosos geralmente se passam por empresas leg\u00edtimas, enviando mensagens que parecem nenhum pouco suspeitas, como:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"1285\" data-end=\"1409\">\n<li data-start=\"1285\" data-end=\"1318\">\n<p data-start=\"1287\" data-end=\"1318\">pedidos de pagamento pendentes;<\/p>\n<\/li>\n<li data-start=\"1319\" data-end=\"1353\">\n<p data-start=\"1321\" data-end=\"1353\">documentos financeiros urgentes;<\/p>\n<\/li>\n<li data-start=\"1354\" data-end=\"1409\">\n<p data-start=\"1356\" data-end=\"1409\">relat\u00f3rios importantes que \u201cprecisam ser analisados\u201d.<\/p>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\" data-start=\"1411\" data-end=\"1614\">A estrat\u00e9gia de engenharia social \u00e9 usar gatilhos psicol\u00f3gicos como urg\u00eancia, autoridade ou familiaridade para que a v\u00edtima <strong data-start=\"1535\" data-end=\"1567\">abra o arquivo sem suspeitar<\/strong> de nada.<\/p>\n<p style=\"text-align: justify;\" data-start=\"1616\" data-end=\"1873\">Esse tipo de t\u00e9cnica n\u00e3o \u00e9 novidade: ataques semelhantes explorando anexos do Excel j\u00e1 foram observados em 2024 distribuindo trojans RAT (Remote Access Trojan) por meio de exploits antigos de vulnerabilidades em Office.<\/p>\n<p data-start=\"1616\" data-end=\"1873\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"1880\" data-end=\"1954\"><strong data-start=\"1884\" data-end=\"1954\">2. A vulnerabilidade por tr\u00e1s do ataque: Execu\u00e7\u00e3o remota de c\u00f3digo<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"1956\" data-end=\"2171\">O truque aproveitado pelos criminosos est\u00e1 em <strong data-start=\"2002\" data-end=\"2053\">uma vulnerabilidade antiga identificada em 2018<\/strong> (CVE-2018-0802), ainda presente em muitas instala\u00e7\u00f5es desatualizadas do Office.<\/p>\n<p style=\"text-align: justify;\" data-start=\"2173\" data-end=\"2441\">Essa brecha est\u00e1 relacionada ao componente <strong data-start=\"2216\" data-end=\"2232\">EQNEDT32.EXE<\/strong>, o antigo editor de equa\u00e7\u00f5es da Microsoft, que pode ser induzido a executar c\u00f3digo arbitr\u00e1rio quando recebe um objeto OLE especialmente constru\u00eddo dentro de uma planilha.<\/p>\n<p style=\"text-align: justify;\" data-start=\"2443\" data-end=\"2721\">Mesmo tratada h\u00e1 anos com uma corre\u00e7\u00e3o oficial, m\u00e1quinas sem atualiza\u00e7\u00f5es continuam vulner\u00e1veis. \u00c9 justamente essa lacuna de atualiza\u00e7\u00e3o que torna o ataque poss\u00edvel, pois o Office ainda processa o objeto malicioso sem questionar sua origem.<\/p>\n<p data-start=\"2443\" data-end=\"2721\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"2728\" data-end=\"2788\"><strong data-start=\"2732\" data-end=\"2788\">3. Da planilha ao controle total: O caminho do XWorm<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"2790\" data-end=\"2884\">Uma vez que a vulnerabilidade \u00e9 ativada, o ataque se desdobra em m\u00faltiplas fases sofisticadas:<\/p>\n<p style=\"text-align: justify;\" data-start=\"2886\" data-end=\"2931\"><strong data-start=\"2891\" data-end=\"2931\">3.1. Shellcode e download do payload<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"2933\" data-end=\"3201\">Um pequeno trecho de c\u00f3digo (conhecido como <em data-start=\"2977\" data-end=\"2988\">shellcode<\/em>) \u00e9 executado silenciosamente ap\u00f3s abrir a planilha. Ele se conecta \u00e0 internet e baixa um arquivo HTA (<em data-start=\"3091\" data-end=\"3109\">HTML Application<\/em>), que roda como programa e n\u00e3o como p\u00e1gina web comum.<\/p>\n<p data-start=\"2933\" data-end=\"3201\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3203\" data-end=\"3249\"><strong data-start=\"3208\" data-end=\"3249\">3.2. Esteganografia e fuga \u00e0 detec\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"3251\" data-end=\"3518\">O HTA, por sua vez, baixa uma imagem JPEG de um servi\u00e7o de hospedagem leg\u00edtimo. Por\u00e9m, a imagem cont\u00e9m <strong data-start=\"3354\" data-end=\"3401\">c\u00f3digo escondido por meio de esteganografia<\/strong> \u2014 t\u00e9cnica de oculta\u00e7\u00e3o de dados dentro de um arquivo aparentemente inofensivo.<\/p>\n<p style=\"text-align: justify;\" data-start=\"3520\" data-end=\"3757\">Esse c\u00f3digo \u00e9 decodificado diretamente na mem\u00f3ria, sem nunca ser escrito no disco, o que torna o ataque <em data-start=\"3624\" data-end=\"3634\">fileless<\/em> \u2014 ou seja, <strong data-start=\"3646\" data-end=\"3718\">sem artefatos tradicionais para detec\u00e7\u00e3o por antiv\u00edrus convencionais<\/strong>.<\/p>\n<p data-start=\"3520\" data-end=\"3757\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3759\" data-end=\"3814\"><strong data-start=\"3764\" data-end=\"3814\">3.3. Inje\u00e7\u00e3o em processo e ativa\u00e7\u00e3o do malware<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"3816\" data-end=\"4098\">O m\u00f3dulo extra\u00eddo usa uma t\u00e9cnica chamada <strong data-start=\"3858\" data-end=\"3879\">process hollowing<\/strong> para injetar o payload final \u2014 o <strong data-start=\"3913\" data-end=\"3926\">XWorm 7.2<\/strong> \u2014 dentro de um processo leg\u00edtimo do Windows (<em data-start=\"3972\" data-end=\"3985\">Msbuild.exe<\/em>). Assim, o malware se disfar\u00e7a como uma aplica\u00e7\u00e3o confi\u00e1vel em execu\u00e7\u00e3o.<\/p>\n<p data-start=\"3816\" data-end=\"4098\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4105\" data-end=\"4153\"><strong data-start=\"4109\" data-end=\"4153\">4. Capacidades do XWorm: Um RAT completo<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"4155\" data-end=\"4294\">Uma vez implantado, o <strong data-start=\"4177\" data-end=\"4186\">XWorm<\/strong> d\u00e1 ao atacante praticamente <strong data-start=\"4215\" data-end=\"4259\">controle total sobre a m\u00e1quina infectada<\/strong>. Entre suas funcionalidades est\u00e3o:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"4296\" data-end=\"4555\">\n<li data-start=\"4296\" data-end=\"4333\">\n<p data-start=\"4298\" data-end=\"4333\">controle remoto de mouse e teclado;<\/p>\n<\/li>\n<li data-start=\"4334\" data-end=\"4352\">\n<p data-start=\"4336\" data-end=\"4352\">captura de tela;<\/p>\n<\/li>\n<li data-start=\"4353\" data-end=\"4383\">\n<p data-start=\"4355\" data-end=\"4383\">acesso a c\u00e2mera e microfone;<\/p>\n<\/li>\n<li data-start=\"4384\" data-end=\"4420\">\n<p data-start=\"4386\" data-end=\"4420\">roubo de senhas, cookies e tokens;<\/p>\n<\/li>\n<li data-start=\"4421\" data-end=\"4449\">\n<p data-start=\"4423\" data-end=\"4449\">gerenciamento de arquivos;<\/p>\n<\/li>\n<li data-start=\"4450\" data-end=\"4480\">\n<p data-start=\"4452\" data-end=\"4480\">execu\u00e7\u00e3o remota de comandos;<\/p>\n<\/li>\n<li data-start=\"4481\" data-end=\"4555\">\n<p data-start=\"4483\" data-end=\"4555\">comunica\u00e7\u00e3o direta com a v\u00edtima.<\/p>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\" data-start=\"4557\" data-end=\"4788\">Al\u00e9m disso, o malware possui arquitetura <strong data-start=\"4598\" data-end=\"4632\">modular com mais de 50 plugins<\/strong>, permitindo que novas funcionalidades sejam adicionadas pelos operadores criminosos sem reescrever o c\u00f3digo b\u00e1sico.<\/p>\n<p style=\"text-align: justify;\" data-start=\"4790\" data-end=\"5050\">Esse tipo de ferramenta \u00e9 classificado como <strong data-start=\"4834\" data-end=\"4864\">RAT (Remote Access Trojan)<\/strong>, semelhante a outros trojans como o <em data-start=\"4901\" data-end=\"4914\">Agent Tesla<\/em>, que tamb\u00e9m \u00e9 entregue por anexos de phishing e permite roubo de informa\u00e7\u00f5es e controle remoto.<\/p>\n<p data-start=\"4790\" data-end=\"5050\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5057\" data-end=\"5099\"><strong data-start=\"5061\" data-end=\"5099\">5. Por que essa amea\u00e7a \u00e9 perigosa?<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5101\" data-end=\"5177\">Esse ataque combina v\u00e1rios fatores que o tornam particularmente preocupante:<\/p>\n<p style=\"text-align: justify;\" data-start=\"5179\" data-end=\"5226\"><strong data-start=\"5184\" data-end=\"5226\">Explora\u00e7\u00e3o de vulnerabilidades antigas<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5227\" data-end=\"5454\">Mesmo vulnerabilidades com mais de cinco anos podem ser exploradas se sistemas n\u00e3o forem atualizados \u2014 um ponto cr\u00edtico em ambientes corporativos com pol\u00edticas de atualiza\u00e7\u00e3o deficientes.<\/p>\n<p data-start=\"5227\" data-end=\"5454\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5456\" data-end=\"5495\"><strong data-start=\"5461\" data-end=\"5495\">T\u00e9cnicas de oculta\u00e7\u00e3o e evas\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5496\" data-end=\"5689\">Ao operar <em data-start=\"5506\" data-end=\"5516\">fileless<\/em> e injetar c\u00f3digo em processos leg\u00edtimos, o malware <strong data-start=\"5568\" data-end=\"5648\">dificulta a detec\u00e7\u00e3o por solu\u00e7\u00f5es baseadas em assinatura ou an\u00e1lise est\u00e1tica<\/strong>.<\/p>\n<p data-start=\"5496\" data-end=\"5689\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5691\" data-end=\"5724\"><strong data-start=\"5696\" data-end=\"5724\">Engenharia social eficaz<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5725\" data-end=\"5917\">A isca do e-mail convincente, acompanhada de um anexo aparentemente leg\u00edtimo, explora precisamente um dos maiores vetores de ataque: <strong data-start=\"5858\" data-end=\"5876\">o fator humano<\/strong>.<\/p>\n<p data-start=\"5725\" data-end=\"5917\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5924\" data-end=\"5963\"><strong data-start=\"5928\" data-end=\"5963\">6. Boas pr\u00e1ticas para mitiga\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5965\" data-end=\"6064\">Para reduzir o risco de ataques desse tipo, organiza\u00e7\u00f5es e usu\u00e1rios devem adotar medidas concretas:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"6066\" data-end=\"6773\">\n<li data-start=\"6066\" data-end=\"6233\">\n<p data-start=\"6068\" data-end=\"6233\"><strong data-start=\"6068\" data-end=\"6128\">Manter o Windows e o Microsoft Office sempre atualizados<\/strong>, garantindo que corre\u00e7\u00f5es de vulnerabilidades sejam aplicadas.<\/p>\n<\/li>\n<li data-start=\"6234\" data-end=\"6407\">\n<p data-start=\"6236\" data-end=\"6407\"><strong data-start=\"6236\" data-end=\"6276\">Desconfiar de anexos n\u00e3o solicitados<\/strong>, especialmente anexos do tipo XLAM ou com solicita\u00e7\u00f5es urgentes para habilitar conte\u00fado.<\/p>\n<\/li>\n<li data-start=\"6408\" data-end=\"6583\">\n<p data-start=\"6410\" data-end=\"6583\"><strong data-start=\"6410\" data-end=\"6462\">Desabilitar componentes antigos e desnecess\u00e1rios<\/strong>, como o editor de equa\u00e7\u00f5es (EQNEDT32.EXE) para reduzir a superf\u00edcie de ataque.<\/p>\n<\/li>\n<li data-start=\"6584\" data-end=\"6773\">\n<p data-start=\"6586\" data-end=\"6773\"><strong data-start=\"6586\" data-end=\"6635\">Empregar solu\u00e7\u00f5es de seguran\u00e7a comportamental<\/strong>, capazes de detectar atividades an\u00f4malas em tempo real, em vez de depender apenas de assinaturas.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"6780\" data-end=\"6796\"><strong data-start=\"6783\" data-end=\"6796\">Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"6798\" data-end=\"7093\">O incidente envolvendo uma <strong data-start=\"6825\" data-end=\"6880\">planilha do Excel infectada com o malware XWorm 7.2<\/strong> \u00e9 um lembrete incisivo de que <strong data-start=\"6911\" data-end=\"7017\">malware moderno combina engenharia social, explora\u00e7\u00e3o de falhas antigas e t\u00e9cnicas avan\u00e7adas de evas\u00e3o<\/strong> para alcan\u00e7ar objetivos maliciosos.<\/p>\n<p style=\"text-align: justify;\" data-start=\"7095\" data-end=\"7424\">O uso de formatos aparentemente inofensivos como anexos corporativos \u00e9 uma t\u00e1tica t\u00e3o eficaz quanto antiga, mas permanece relevante devido \u00e0 persist\u00eancia de falhas em sistemas desatualizados e \u00e0 capacidade dos atacantes de camuflar suas cargas maliciosas com engenharia social sofisticada.<\/p>\n<p style=\"text-align: justify;\" data-start=\"7426\" data-end=\"7790\">Para profissionais de TI e seguran\u00e7a da informa\u00e7\u00e3o, este caso refor\u00e7a a import\u00e2ncia de uma abordagem hol\u00edstica de defesa \u2014 que combine atualiza\u00e7\u00e3o cont\u00ednua de software, conscientiza\u00e7\u00e3o dos usu\u00e1rios e solu\u00e7\u00f5es de seguran\u00e7a capazes de identificar comportamento an\u00f4malo em vez de apenas buscar por arquivos maliciosos no disco.<\/p>\n<p data-start=\"7426\" data-end=\"7790\">\u00a0<\/p>\n<p data-start=\"7797\" data-end=\"7830\"><strong data-start=\"7800\" data-end=\"7830\">Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n<ul data-start=\"7832\" data-end=\"8214\">\n<li data-start=\"7832\" data-end=\"8075\">\n<p data-start=\"7835\" data-end=\"8075\">Planilha do Excel infectada d\u00e1 controle total do seu PC a hackers \u2014 <strong>TecMundo<\/strong>: <a class=\"decorated-link\" href=\"https:\/\/www.tecmundo.com.br\/seguranca\/411042-planilha-do-excel-infectada-da-controle-total-do-seu-pc-a-hackers.htm?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"7919\" data-end=\"8033\">https:\/\/www.tecmundo.com.br\/seguranca\/411042-planilha-do-excel-infectada-da-controle-total-do-seu-pc-a-hackers.htm<\/a><\/p>\n<\/li>\n<li data-start=\"8076\" data-end=\"8214\">\n<p data-start=\"8079\" data-end=\"8214\">Agent Tesla \u2013 Remote Access Trojan \u2014 <strong>Wikipedia<\/strong>: <a class=\"decorated-link\" href=\"https:\/\/en.wikipedia.org\/wiki\/Agent_Tesla?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"8133\" data-end=\"8174\">https:\/\/en.wikipedia.org\/wiki\/Agent_Tesla<\/a><\/p>\n<\/li>\n<\/ul>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Quando uma planilha se torna porta de entrada: A amea\u00e7a oculta de malware em Excel Embora o Microsoft Excel seja uma das ferramentas mais utilizadas em ambientes corporativos e dom\u00e9sticos no mundo, n\u00e3o \u00e9 apenas um software de produtividade \u2014 ele tamb\u00e9m tem sido explorado repetidamente por cibercriminosos como vetor de infec\u00e7\u00e3o. Uma campanha recente [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":24025,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-24024","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/24024","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=24024"}],"version-history":[{"count":1,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/24024\/revisions"}],"predecessor-version":[{"id":24026,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/24024\/revisions\/24026"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/24025"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=24024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=24024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=24024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}