Een lopende phishing-campagne bekend als MEME#4CHAN is ontdekt in het wild, die een eigenaardige aanvalsketen gebruikt om XWorm-malware naar gerichte systemen te sturen. Den Iuzvyk, Tim Piek, en Oleg Kolesnikov van Securonix hebben onlangs onthuld dat de campagne met meme gevulde PowerShell-code heeft ingezet, gevolgd door een verduisterde XWorm-lading.
Hun bevindingen bouwen voort op die van Elastic Security Labs, waarin werd opgemerkt dat de bedreigingsactor gebruikmaakt van lokmiddelen met een reserveringsthema om slachtoffers voor de gek te houden zodat ze kwaadaardige documenten openen die XWorm bevatten en Agent Tesla payloads. Deze campagne was voornamelijk gericht op productiebedrijven en gezondheidsklinieken in Duitsland.
Met behulp van phishing-aanvallen, de aanvallers gebruiken valse Microsoft Word-documenten om de Follina-kwetsbaarheid te misbruiken (CVE-2022-30190) om een versluierd PowerShell-script te laten vallen.
Meer over de Follina-kwetsbaarheid
De Follina-kwetsbaarheid is de naam van een nu vastgestelde zero-day in Microsoft Office die kan worden gebruikt bij aanvallen met willekeurige code-uitvoering. Het nao_sec-onderzoeksteam ontdekte de kwetsbaarheid na het vinden van een Word-document dat was geüpload naar VirusTotal vanaf een Wit-Russisch IP-adres. Follina was gerepareerd in juni vorig jaar volgt een verzachting.
Meer over de XWorm-aanval
Het lijkt erop dat de bedreigingsactor die verantwoordelijk is voor de XWorm-malwareaanval een Midden-Oosterse/Indiase achtergrond kan hebben, aangezien het gebruikte PowerShell-script een variabele bevat met de titel “$CHOTAbheem”, wat een verwijzing is naar een Indiase geanimeerde komische avonturentelevisieserie.
XWorm is standaardmalware die vaak wordt aangetroffen op ondergrondse fora, met een reeks functies waarmee het gevoelige informatie kan overhevelen, evenals het uitvoeren van clipper, DDoS, en ransomware-operaties, verspreid via USB, en drop extra malware. Deze specifieke aanvalsmethode deelt artefacten die vergelijkbaar zijn met die van TA558, die zich in het verleden op de horeca heeft gericht. Ondanks het besluit van Microsoft om macro's standaard uit te schakelen in Microsoft Office-documenten, deze zaak bewijst dat het nog steeds belangrijk is om op uw hoede te zijn voor kwaadaardige documentbestanden.