文章总结： 文档分析了XWorm7.1和RemcosRAT两款恶意软件的攻击活动。XWorm利用WinRAR漏洞及Discord传播，劫持合法系统进程实现无文件内存驻留以规避检测。RemcosRAT通过钓鱼邮件传播，采用进程空心化技术窃取数据。报告指出此类攻击常滥用可信工具，建议及时更新软件补丁、限制系统工具权限并部署基于行为的检测防御机制。 综合评分： 78 文章分类： 恶意软件,威胁情报,漏洞分析

安全 恶意软件新型 XWorm 7.1 和 Remcos RAT 攻击利用 Windows 工具规避检测

Ots安全

2026年3月18日 13:00 广东

威胁简报

恶意软件

漏洞攻击

根据 Trellix 与 Hackread.com 分享的研究，已确定的最危险的工具之一是 XWorm 7.1，这是一种远程访问木马 (RAT)，以恶意软件即服务 ( MaaS ) 的形式提供，使黑客能够完全控制受害者的计算机。

值得注意的是，XWorm 7.2也出现在一些交易平台上，其目标客户是企业。XWorm 的易得性和强大功能使得研究人员将其称为地下世界的“商品之王”，其使用量在过去一年中增长了 174%。

在最近针对台湾一家网络安全公司的攻击活动中，黑客利用WinRAR中的一个高危漏洞（CVE-2025-8088）入侵了该公司。他们通过Discord传播恶意压缩文件，并将其伪装成无害的游戏模组。

一旦用户打开这些文件，恶意软件 XWorm 就会劫持一个名为Aspnet_compiler.exe的受信任的微软实用程序来运行其代码，从而发起“借机攻击” 。由于该病毒驻留在计算机内存中，从未写入磁盘，因此很容易绕过旧版安全工具的检测。

报告指出：“XWorm 通过从可预测的基于文件的执行转向内存驻留的‘借力打力’（LOTL）技术，有效地瓦解了依赖特征码的防御……迅速攀升至全球威胁排名第三，需要立即转向主动的、基于行为的安全态势。”

攻击流程（来源：Trellix）

Remcos RAT 和布谷鸟策略

第二份报告也由 Hackread.com 独家发布，详细描述了使用Remcos RAT 的多阶段攻击。该攻击活动始于“采购主题”电子邮件，例如“询价请求”诱饵，以冒充工业或海事公司。

如果受害者打开附件中的 ZIP 文件并点击其中的 JavaScript，就会触发一系列复杂的事件，导致进程空心化或布谷鸟策略。研究人员认为，这是一种狡猾的策略，恶意软件会创建一个受信任的 Windows 进程，然后用病毒替换该进程的内部结构。

感染链（来源：Trellix）

在这种情况下，它还会利用该aspnet_compiler.exe文件进行隐藏。一旦 Remcos 病毒在内存中运行，它就开始监视你的电脑；它可以记录你输入的每一个按键，监视你的屏幕，甚至打开你的摄像头。该恶意软件还会将这些窃取的数据保存到你临时文件夹中的一个隐藏日志文件中，然后再通过端口 7003 上的特定连接将其发送回黑客的服务器。

带有恶意附件的网络钓鱼邮件

为了确保安全，研究人员建议最佳防御措施是主动更新软件。由于这些攻击依赖于过时的软件，因此必须立即将 WinRAR 更新到 7.13 或更高版本。鉴于黑客越来越擅长利用我们信任的程序来攻击我们，因此对可疑的、看似商务性质的电子邮件保持警惕比以往任何时候都更加重要。

Trellix 的报告总结道：“此次攻击活动反映了现代通用恶意软件的惯用伎俩，其中无文件执行和系统资源利用技术已成为标准做法，凸显了以内存为中心和基于行为的检测策略的重要性。为了加强对这些威胁的防御，组织应限制对原生工具的滥用，强制执行最小权限原则，并部署能够检查内存和脚本执行情况的检测机制。”

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《安全 恶意软件新型 XWorm 7.1 和 Remcos RAT 攻击利用 Windows 工具规避检测》