Una campagna di phishing in corso nota come MEME#4CHAN è stata scoperta in natura, che utilizza una catena di attacco peculiare per fornire malware XWorm a sistemi mirati. Den Iuzvik, Tim Peck, e Oleg Kolesnikov di Securonix ha recentemente rivelato che la campagna ha distribuito codice PowerShell pieno di meme, seguito da un payload XWorm offuscato.
I loro risultati si basano su quelli di Elastic Security Labs, che ha notato l'utilizzo da parte dell'autore della minaccia di esche a tema di prenotazione per ingannare le vittime nell'aprire documenti dannosi che contengono XWorm e Agente Tesla payload. Questa campagna si rivolge principalmente alle aziende manifatturiere e alle cliniche sanitarie situate in Germania.
Con l'aiuto di attacchi di phishing, gli aggressori utilizzano falsi documenti di Microsoft Word per sfruttare la vulnerabilità di Follina (CVE-2022-30190) per eliminare uno script PowerShell offuscato.
Maggiori informazioni sulla Vulnerabilità di Follina
La vulnerabilità di Follina è il nome di uno zero-day ora fisso in Microsoft Office che potrebbe essere sfruttato in attacchi di esecuzione di codice arbitrario. Il team di ricerca nao_sec ha scoperto la vulnerabilità dopo aver trovato un documento Word che era stato caricato su VirusTotal da un indirizzo IP bielorusso. Follina lo era rattoppato a giugno l'anno scorso a seguire una mitigazione.
Ulteriori informazioni sull'attacco XWorm
Sembra che l'autore della minaccia responsabile dell'attacco malware XWorm possa avere origini mediorientali/indiane, poiché lo script PowerShell utilizzato contiene una variabile denominata “$CHOT Abheem”, che è un riferimento a una serie televisiva di avventura commedia animata indiana.
XWorm è un malware merceologico che si trova spesso nei forum sotterranei, con una gamma di funzionalità che gli consentono di sottrarre informazioni sensibili, così come eseguire clipper, DDoS, e operazioni ransomware, diffusione tramite USB, e rilasciare malware aggiuntivo. Questa particolare metodologia di attacco condivide artefatti simili a quelli di TA558, che ha preso di mira l'industria dell'ospitalità in passato. Nonostante la decisione di Microsoft di disabilitare le macro per impostazione predefinita nei documenti di Microsoft Office, questo caso dimostra che è ancora importante diffidare dei file di documenti dannosi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: