Uma campanha de phishing em andamento conhecida como MEME#4CHAN foi descoberta na natureza, que usa uma cadeia de ataque peculiar para entregar o malware XWorm aos sistemas visados. Den Iuzvyk, Tim Peck, e Oleg Kolesnikov, da Securonix, revelou recentemente que a campanha está implantando código PowerShell cheio de memes, seguido por uma carga útil ofuscada do XWorm.
Suas descobertas se baseiam nas do Elastic Security Labs, que observou a utilização de iscas com tema de reserva pelo agente da ameaça para enganar as vítimas e fazê-las abrir documentos maliciosos que carregam XWorm e agente Tesla payloads. Esta campanha tem como alvo principalmente empresas de manufatura e clínicas de saúde localizadas na Alemanha.
Com a ajuda de ataques de phishing, os invasores usam iscas de documentos do Microsoft Word para explorar a vulnerabilidade do Follina (CVE-2022-30190) para descartar um script ofuscado do PowerShell.
Mais sobre a vulnerabilidade de Follina
A vulnerabilidade de Follina é o nome de um zero-day agora corrigido no Microsoft Office que pode ser aproveitado em ataques de execução de código arbitrário. A equipe de pesquisa nao_sec descobriu a vulnerabilidade depois de encontrar um documento do Word que havia sido carregado no VirusTotal de um endereço IP bielorrusso. Follina era corrigido em junho ano passado seguinte uma mitigação.
Mais sobre o Ataque XWorm
Parece que o agente da ameaça responsável pelo ataque de malware XWorm pode ter antecedentes no Oriente Médio/Índia, pois o script do PowerShell usado contém uma variável intitulada “$CHOTAbheem”, que é uma referência a uma série de televisão de aventura e comédia animada indiana.
XWorm é um malware de commodity frequentemente encontrado em fóruns clandestinos, com uma variedade de recursos que permitem desviar informações confidenciais, bem como executar clipper, DDoS, e operações de ransomware, espalhar via USB, e descartar malware adicional. Essa metodologia de ataque específica compartilha artefatos semelhantes aos do TA558, que teve como alvo a indústria hoteleira no passado. Apesar da decisão da Microsoft de desabilitar macros por padrão em documentos do Microsoft Office, este caso prova que ainda é importante ter cuidado com arquivos de documentos maliciosos.