Eine laufende Phishing-Kampagne namens MEME#4CHAN wurde in freier Wildbahn aufgedeckt, die eine besondere Angriffskette verwendet, um XWorm-Malware auf Zielsysteme zu übertragen. Den Iuzvyk, Tim Peck, und Oleg Kolesnikov von Securonix gaben kürzlich bekannt, dass die Kampagne mit Memes gefüllten PowerShell-Code eingesetzt hat, gefolgt von einer verschleierten XWorm-Nutzlast.
Ihre Erkenntnisse bauen auf denen der Elastic Security Labs auf, Darin wurde darauf hingewiesen, dass der Bedrohungsakteur Köder mit Reservierungsmotiven einsetzte, um Opfer dazu zu verleiten, bösartige Dokumente zu öffnen, die XWorm und enthalten Agent Tesla Nutzlasten. Diese Kampagne richtet sich vor allem an produzierende Unternehmen und Gesundheitskliniken mit Sitz in Deutschland.
Mit Hilfe von Phishing-Angriffen, Die Angreifer nutzen gefälschte Microsoft Word-Dokumente, um die Follina-Sicherheitslücke auszunutzen (CVE-2022-30190) um ein verschleiertes PowerShell-Skript zu löschen.
Mehr über die Follina-Sicherheitslücke
Die Follina-Sicherheitslücke ist der Name eines inzwischen behobenen Zero-Day-Angriffs in Microsoft Office, der für Angriffe auf die Ausführung willkürlichen Codes ausgenutzt werden könnte. Das Forschungsteam von nao_sec entdeckte die Schwachstelle, nachdem es ein Word-Dokument gefunden hatte, das von einer belarussischen IP-Adresse auf VirusTotal hochgeladen worden war. Follina war im Juni gepatcht letztes Jahr darauffolgend eine Milderung.
Mehr über den XWorm-Angriff
Es scheint, dass der für den XWorm-Malware-Angriff verantwortliche Bedrohungsakteur einen nahöstlichen/indischen Hintergrund haben könnte, da das verwendete PowerShell-Skript eine Variable mit dem Titel enthält “$CHOTAbheem”, Dies ist eine Anspielung auf eine indische Zeichentrick-Abenteuerserie.
XWorm ist eine Standard-Malware, die häufig in Untergrundforen zu finden ist, mit einer Reihe von Funktionen, die es ihm ermöglichen, vertrauliche Informationen abzugreifen, sowie Clipper durchführen, DDoS, und Ransomware-Operationen, Verbreitung über USB, und zusätzliche Malware löschen. Diese spezielle Angriffsmethode weist ähnliche Artefakte wie TA558 auf, die in der Vergangenheit auf das Gastgewerbe abzielte. Trotz der Entscheidung von Microsoft, Makros in Microsoft Office-Dokumenten standardmäßig zu deaktivieren, Dieser Fall zeigt, dass es immer noch wichtig ist, vor bösartigen Dokumentdateien auf der Hut zu sein.