En igangværende phishing-kampagne kendt som MEME#4CHAN er blevet afsløret i naturen, som bruger en ejendommelig angrebskæde til at levere XWorm malware til målrettede systemer. Den Iuzvyk, Tim Peck, og Oleg Kolesnikov fra Securonix afslørede for nylig, at kampagnen har implementeret meme-fyldt PowerShell-kode, efterfulgt af en sløret XWorm nyttelast.
Deres resultater bygger på resultaterne fra Elastic Security Labs, som bemærkede trusselsaktørens brug af lokkemidler med reservationstema for at narre ofre til at åbne ondsindede dokumenter, der bærer XWorm og Agent Tesla nyttelast. Denne kampagne har primært været rettet mod produktionsvirksomheder og sundhedsklinikker i Tyskland.
Ved hjælp af phishing-angreb, angriberne bruger Microsoft Word-dokumenter til at udnytte Follina-sårbarheden (CVE-2022-30190) for at slippe et sløret PowerShell-script.
Mere om Follina-sårbarheden
Follina-sårbarheden er navnet på en nu-fast nul-dag i Microsoft Office, der kunne udnyttes i vilkårlige kodeeksekveringsangreb. Nao_sec-forskningsholdet afslørede sårbarheden efter at have fundet et Word-dokument, der var blevet uploadet til VirusTotal fra en hviderussisk IP-adresse. Follina var lappet i juni sidste år efter en afbødning.
Mere om XWorm Attack
Det ser ud til, at trusselsaktøren, der er ansvarlig for XWorm malware-angrebet, kan have en mellemøstlig/indisk baggrund, da det anvendte PowerShell-script indeholder en variabel med titlen “$CHOTAbheem”, som er en reference til en indisk animeret komedie eventyr tv-serie.
XWorm er en råvare-malware, der ofte findes på underjordiske fora, med en række funktioner, der gør det muligt at hente følsomme oplysninger, samt udføre klipper, DDoS, og ransomware-operationer, spredes via USB, og slip yderligere malware. Denne særlige angrebsmetodologi deler artefakter, der ligner dem i TA558, som tidligere har været rettet mod hotelbranchen. På trods af Microsofts beslutning om at deaktivere makroer som standard i Microsoft Office-dokumenter, denne sag beviser, at det stadig er vigtigt at være på vagt over for ondsindede dokumentfiler.