Malware XWorm explora vulnerabilidade Follina em nova onda de ataques
15 de Maio de 2023

Pesquisadores de cibersegurança descobriram uma campanha de phishing em andamento que utiliza uma cadeia de ataque única para entregar o malware XWorm em sistemas específicos.

A Securonix, que está rastreando o cluster de atividades sob o nome MEME#4CHAN, afirmou que alguns dos ataques têm como alvo principalmente empresas de manufatura e clínicas de saúde localizadas na Alemanha.

"A campanha de ataque tem utilizado um código PowerShell cheio de memes incomuns, seguido por um payload XWorm fortemente ofuscado para infectar suas vítimas", disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov em uma nova análise compartilhada com o The Hacker News.

O relatório se baseia em descobertas recentes dos Elastic Security Labs, que revelaram as iscas temáticas de reserva do ator de ameaças para enganar as vítimas a abrir documentos maliciosos capazes de entregar os payloads XWorm e Agent Tesla.

Os ataques começam com ataques de phishing para distribuir documentos falsos do Microsoft Word que, em vez de usar macros, exploram a vulnerabilidade Follina ( CVE-2022-30190 , pontuação CVSS: 7,8) para deixar um script PowerShell ofuscado.

A partir daí, os atores de ameaças abusam do script PowerShell para contornar a Interface de Varredura Antimalware (AMSI), desativar o Microsoft Defender, estabelecer persistência e, por fim, lançar o binário .NET contendo o XWorm.

Curiosamente, uma das variáveis no script PowerShell é denominada "$CHOTAbheem", que provavelmente é uma referência a Chhota Bheem, uma série de televisão de comédia e aventura animada indiana.

"Com base em uma verificação rápida, parece que o indivíduo ou grupo responsável pelo ataque pode ter um histórico do Oriente Médio/Índia, embora a atribuição final ainda não tenha sido confirmada", disseram os pesquisadores ao The Hacker News, observando que tais palavras-chave também podem ser usadas como uma cobertura.

O XWorm é um malware comum que é anunciado para venda em fóruns underground e vem com uma ampla gama de recursos que permitem que ele sugue informações sensíveis de hosts infectados.

O malware também é uma faca suíça, pois pode realizar operações de clipper, DDoS e ransomware, se espalhar via USB e deixar malware adicional.

As origens exatas do ator de ameaças ainda não estão claras, embora a Securonix tenha dito que a metodologia de ataque compartilha artefatos semelhantes aos do TA558, que foi observado atacando a indústria hoteleira no passado.

"Embora e-mails de phishing raramente usem documentos do Microsoft Office desde que a Microsoft tomou a decisão de desabilitar macros por padrão, hoje estamos vendo a prova de que ainda é importante estar vigilante sobre arquivos de documentos maliciosos, especialmente neste caso em que não houve execução de VBscript a partir de macros", disseram os pesquisadores.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...