Το κακόβουλο λογισμικό XWorm εκμεταλλεύεται την ευπάθεια Follina σε ένα νέο κύμα επιθέσεων
Οι ερευνητές κυβερνοασφάλειας ανακάλυψαν μια συνεχιζόμενη εκστρατεία phishing που χρησιμοποιεί μια μοναδική αλυσίδα επίθεσης για να μεταφέρει το κακόβουλο λογισμικό XWorm σε στοχευμένα συστήματα.
Η Securonix, η οποία παρακολουθεί το σύμπλεγμα δραστηριοτήτων με το όνομα MEME#4CHAN, είπε ότι ορισμένες από τις επιθέσεις στοχεύουν κυρίως κατασκευαστικές εταιρείες και κλινικές υγειονομικής περίθαλψης που βρίσκονται στη Γερμανία.
«Η εκστρατεία επίθεσης αξιοποίησε μάλλον ασυνήθιστο κώδικα PowerShell γεμάτο meme, ακολουθούμενο από ένα βαρύ ωφέλιμο φορτίο XWorm για να μολύνει τα θύματά του», ανέφεραν οι ερευνητές ασφαλείας Den Iuzvyk, Tim Peck και Oleg Kolesnikov σε μια νέα ανάλυση που κοινοποιήθηκε στο The Hacker News.
Η έκθεση βασίζεται στα πρόσφατα ευρήματα της Elastic Security Labs, η οποία αποκάλυψε ότι ο απειλητικός παράγοντας χρησιμοποιούσε δολώματα με θέμα τις κρατήσεις για να εξαπατήσει τα θύματα ώστε να ανοίξουν κακόβουλα έγγραφα ικανά να παραδώσουν τα ωφέλιμα φορτία XWorm και Agent Tesla.
Η επίθεση ξεκινάει με επιθέσεις phishing που διανέμουν έγγραφα Microsoft Word, τα οποία αντί να χρησιμοποιούν μακροεντολές χρησιμοποιούν την ευπάθεια Follina (CVE-2022-30190, CVSS score: 7.8) για να κάνουν drop ένα obfuscated PowerShell script.
Από εκεί, οι απειλητικοί φορείς κάνουν κατάχρηση ενός PowerShell script για να παρακάμψουν το Antimalware Scan Interface (AMSI), να απενεργοποιήσουν το Microsoft Defender, να δημιουργήσουν persistence και τελικά να εκκινήσουν το δυαδικό αρχείο .NET που περιέχει το XWorm.
Είναι ενδιαφέρον ότι μία από τις μεταβλητές στο PowerShell script ονομάζεται “$CHOTAbheem”, το οποίο πιθανότατα είναι μια αναφορά στην Chhota Bheem, μια ινδική κωμική περιπέτεια τηλεοπτική σειρά κινουμένων σχεδίων.
“Με βάση έναν γρήγορο έλεγχο, φαίνεται ότι το άτομο ή η ομάδα που είναι υπεύθυνη για την επίθεση θα μπορούσε να έχει ένα υπόβαθρο Μέσης Ανατολής/Ινδίας, αν και η τελική απόδοση δεν έχει ακόμη επιβεβαιωθεί”, είπαν οι ερευνητές στο The Hacker News, επισημαίνοντας ότι τέτοιες λέξεις-κλειδιά θα μπορούσε επίσης να χρησιμοποιηθεί ως cover.
Το XWorm είναι ένα commodity malware που διαφημίζεται προς πώληση σε underground forums και διαθέτει ένα ευρύ φάσμα λειτουργιών που του επιτρέπουν να συλλέγει ευαίσθητες πληροφορίες από μολυσμένους hosts.
Το κακόβουλο λογισμικό είναι ένας ελβετικός σουγιάς, καθώς μπορεί να εκτελεί λειτουργίες Clipper, DDoS και ransomware, να εξαπλώνεται μέσω USB και να κάνει drop επιπλέον malware.
Η ακριβής προέλευση του απειλητικού παράγοντα δεν είναι προς το παρόν σαφής, ωστόσο, η Securonix δήλωσε ότι η μεθοδολογία της επίθεσης μοιράζεται τεχνουργήματα παρόμοια με αυτά του TA558, το οποίο έχει παρατηρηθεί να πλήττει τον κλάδο του hospitalityστο παρελθόν.
“Αν και τα μηνύματα ηλεκτρονικού “ψαρέματος” σπάνια χρησιμοποιούν έγγραφα του Microsoft Office από τη στιγμή που η Microsoft πήρε την απόφαση να απενεργοποιήσει τις μακροεντολές από προεπιλογή, σήμερα βλέπουμε την απόδειξη ότι είναι ακόμα σημαντικό να είμαστε προσεκτικοί σχετικά με κακόβουλα αρχεία εγγράφων, ειδικά σε αυτήν την περίπτωση όπου δεν υπήρχε εκτέλεση VBscript από μακροεντολές», είπαν οι ερευνητές.
Πηγή πληροφοριών: thehackernews.com
