Το XFiles info-stealer malware έχει προσθέσει ένα delivery module που εκμεταλλεύεται το CVE-2022-30190, γνωστό και ως Follina, για την απόρριψη του payload σε υπολογιστές-στόχους.
Δείτε επίσης: Ransomware: Τα παραδοσιακά εργαλεία ασφάλειας δεν αρκούν για την προστασία
Το ελάττωμα, που ανακαλύφθηκε ως zero-day στα τέλη Μαΐου και διορθώθηκε με την ενημέρωση των Windows της Microsoft στις 14 Ιουνίου, επιτρέπει την εκτέλεση εντολών PowerShell απλά ανοίγοντας ένα έγγραφο του Word.
Στην περίπτωση του XFiles malware, οι ερευνητές της Cyberint παρατήρησαν ότι οι πρόσφατες καμπάνιες που παραδίδουν το malware χρησιμοποιούν το Follina για να κατεβάσουν το payload, να το εκτελέσουν και επίσης να δημιουργήσουν persistence στον υπολογιστή-στόχο.
Δείτε επίσης: Toll malware απενεργοποιεί το WiFi αναγκάζοντας σε συνδρομές premium
Εκμετάλλευση του Follina
Το κακόβουλο έγγραφο, το οποίο πιθανότατα φτάνει στον στόχο μέσω spam email, περιέχει ένα αντικείμενο OLE που δείχνει σε ένα αρχείο HTML σε έναν εξωτερικό πόρο που περιέχει κώδικα JavaScript που εκμεταλλεύεται το Follina.
Αυτό έχει ως αποτέλεσμα την ανάκτηση ενός string με κωδικοποίηση base64 που περιέχει εντολές PowerShell για τη δημιουργία persistence στο startup directory των Windows και την εκτέλεση του malware.
Δείτε επίσης: CISA: Προειδοποιεί για άμεση μετάβαση σε Exchange Online Modern Auth
Το module δεύτερου σταδίου χρησιμοποιεί το όνομα αρχείου “ChimLacUpdate.exe” και περιλαμβάνει έναν hardcoded encrypted shellcode και κλειδί αποκρυπτογράφησης AES. Αποκρυπτογραφείται και εκτελείται στην ίδια διαδικασία εκτέλεσης μέσω ενός API call.
Αφού ολοκληρωθεί η διαδικασία μόλυνσης, το XFiles ξεκινά τυπικές λειτουργίες info-stealer malware, όπως στόχευση των cookies, κωδικών πρόσβασης και ιστορικού που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού, cryptocurrency wallets, λήψη screenshot και αναζήτηση credential Discord και Telegram.
Τα αρχεία αποθηκεύονται τοπικά σε directories που δημιουργήθηκαν πρόσφατα και τελικά εξάγονται μέσω Telegram, εκμεταλλευόμενοι την ανωνυμία στην πλατφόρμα επικοινωνίας.
Το XFiles επεκτείνεται
Η Cyberint παρακολουθεί τη λειτουργία «XFiles Reborn» για λίγο και σημειώνει ότι η ομάδα πίσω από αυτήν έχει επεκταθεί στρατολογώντας νέα μέλη και ξεκινώντας νέα projects.
Μια αξιοσημείωτη στρατολόγηση ήταν αυτή του author του «Whisper Project», ενός info-stealer που κέρδιζε γρήγορα δημοτικότητα, αλλά ξαφνικά διακόπηκε η λειτουργία του όταν ο δημιουργός εντάχθηκε στο XFiles.
Ένα από τα νέα projects που κυκλοφόρησε ο όμιλος νωρίτερα μέσα στην χρονιά ονομάζεται «Punisher Miner», που διαφημίζεται ως ένας εξαιρετικά φυγοκεντρικός και κρυφός miner που υποστηρίζει τα Monero, Toncoin και Ravecoin.
Το νέο εργαλείο mining πωλείται για 9 $, που είναι όσο χρεώνει το XFiles για έναν μήνα ενοικίασης του info-stealer.
Συμπερασματικά, η συμμορία φαίνεται να γίνεται μεγαλύτερη και πιο παραγωγική, στρατολογώντας ταλαντούχους δημιουργούς malware για να προσφέρουν στους χρήστες τους πιο «έτοιμα για ανάπτυξη» εργαλεία που δεν απαιτούν εμπειρία ή γνώση coding.
Η ενσωμάτωση του εγγράφου που εκμεταλλεύεται το Follina μειώνει το infection friction και αυξάνει το ποσοστό των επιτυχημένων επιθέσεων.
Πηγή πληροφοριών: bleepingcomputer.com
