Une campagne de phishing en cours connue sous le nom de MEME#4CHAN a été découverte dans la nature, qui utilise une chaîne d'attaque particulière pour livrer le malware XWorm aux systèmes ciblés. Den Iuzvyk, Tim Peck, et Oleg Kolesnikov de Securonix ont récemment révélé que la campagne déployait du code PowerShell rempli de mèmes, suivi d'une charge utile XWorm obscurcie.
Leurs conclusions s'appuient sur celles d'Elastic Security Labs, qui a noté l'utilisation par l'acteur de la menace d'appâts sur le thème des réservations pour tromper les victimes en leur faisant ouvrir des documents malveillants contenant XWorm et Agent Tesla charges utiles. Cette campagne ciblait principalement les entreprises manufacturières et les cliniques de santé situées en Allemagne.
Avec l'aide d'attaques de phishing, les attaquants utilisent des documents Microsoft Word leurres pour exploiter la vulnérabilité Follina (CVE-2022-30190) afin de déposer un script PowerShell obfusqué.
En savoir plus sur la vulnérabilité Follina
La vulnérabilité Follina est le nom d'un zero-day désormais corrigé dans Microsoft Office qui pourrait être exploité dans des attaques d'exécution de code arbitraire. L'équipe de recherche nao_sec a découvert la vulnérabilité après avoir trouvé un document Word qui avait été téléchargé sur VirusTotal à partir d'une adresse IP biélorusse. Follina était patché en juin l'année dernière après une atténuation.
En savoir plus sur l'attaque XWorm
Il semble que l'acteur de la menace responsable de l'attaque du logiciel malveillant XWorm pourrait avoir une origine moyen-orientale/indienne, car le script PowerShell utilisé contient une variable intitulée “$CHOTAbheem”, qui fait référence à une série télévisée d'aventure comique d'animation indienne.
XWorm est un logiciel malveillant de base fréquemment trouvé sur les forums clandestins, avec une gamme de fonctionnalités qui lui permettent de siphonner des informations sensibles, ainsi que d'effectuer clipper, DDoS, et les opérations de ransomware, diffusion via USB, et déposer des logiciels malveillants supplémentaires. Cette méthodologie d'attaque particulière partage des artefacts similaires à ceux de TA558, qui a ciblé l'industrie hôtelière dans le passé. Malgré la décision de Microsoft de désactiver les macros par défaut dans les documents Microsoft Office, ce cas prouve qu'il est tout de même important de se méfier des fichiers de documents malveillants.