Una campaña de phishing en curso conocida como MEME#4CHAN ha sido descubierta en la naturaleza, que utiliza una cadena de ataque peculiar para entregar el malware XWorm a los sistemas objetivo. Den Iuzvyk, tim peck, y Oleg Kolesnikov de Securonix revelaron recientemente que la campaña ha estado implementando código PowerShell lleno de memes, seguido de una carga útil XWorm ofuscada.
Sus hallazgos se basan en los de Elastic Security Labs, que señaló la utilización por parte del actor de amenazas de señuelos temáticos de reservas para engañar a las víctimas para que abran documentos maliciosos que contienen XWorm y agente Tesla cargas útiles. Esta campaña se ha dirigido principalmente a empresas de fabricación y clínicas de atención médica ubicadas en Alemania..
Con la ayuda de los ataques de phishing, los atacantes utilizan documentos de Microsoft Word como señuelo para aprovechar la vulnerabilidad de Follina (CVE-2022-30190) para eliminar un script de PowerShell ofuscado.
Más sobre la vulnerabilidad de Follina
La vulnerabilidad de Follina es el nombre de un día cero ahora corregido en Microsoft Office que podría aprovecharse en ataques de ejecución de código arbitrario. El equipo de investigación de nao_sec descubrió la vulnerabilidad después de encontrar un documento de Word que se había subido a VirusTotal desde una dirección IP de Bielorrusia.. Follina era parcheado en junio el año pasado siguiente una mitigación.
Más sobre el ataque XWorm
Parece que el actor de amenazas responsable del ataque de malware XWorm podría tener antecedentes en Oriente Medio/India., ya que el script de PowerShell utilizado contiene una variable titulada “$CHOTAbheem”, que es una referencia a una serie de televisión de aventuras de comedia animada india.
XWorm es un malware básico que se encuentra con frecuencia en foros clandestinos, con una gama de características que le permiten desviar información confidencial, así como realizar clipper, DDoS, y operaciones de ransomware, difundir a través de USB, y eliminar malware adicional. Esta metodología de ataque particular comparte artefactos similares a los de TA558, que se ha dirigido a la industria hotelera en el pasado. A pesar de la decisión de Microsoft de desactivar las macros por defecto en los documentos de Microsoft Office, este caso demuestra que aún es importante tener cuidado con los archivos de documentos maliciosos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: