Los investigadores de seguridad cibernética han descubierto una campaña de phishing en curso que utiliza una cadena de ataque única para entregar el malware XWorm en los sistemas objetivo.
Securonix, que está rastreando el grupo de actividad bajo el nombre MEME#4CHAN , dijo que algunos de los ataques se han dirigido principalmente a empresas manufactureras y clínicas de atención médica ubicadas en Alemania.
«La campaña de ataque ha estado aprovechando un código PowerShell lleno de memes bastante inusual, seguido de una carga XWorm muy ofuscada para infectar a sus víctimas», dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un nuevo análisis compartido con The Hacker News .
El informe se basa en hallazgos recientes de Elastic Security Labs, que reveló los señuelos temáticos de reserva del actor de amenazas para engañar a las víctimas para que abran documentos maliciosos capaces de entregar cargas útiles de XWorm y Agent Tesla.
Los ataques comienzan con ataques de phishing para distribuir documentos señuelo de Microsoft Word que, en lugar de usar macros, utilizan la vulnerabilidad de Follina (CVE-2022-30190, puntuación CVSS: 7.8) como arma para colocar un script ofuscado de PowerShell.
A partir de ahí, los actores de amenazas abusan del script de PowerShell para eludir la interfaz de análisis antimalware ( AMSI ), deshabilitan Microsoft Defender, establecen la persistencia y, en última instancia, inician el binario .NET que contiene XWorm.
Curiosamente, una de las variables en el guión de PowerShell se llama «$CHOTAbheem», que probablemente sea una referencia a Chhota Bheem , una serie de televisión india de aventuras y comedia animada.
«Según una verificación rápida, parece que el individuo o el grupo responsable del ataque podría tener antecedentes en el Medio Oriente o la India, aunque la atribución final aún no ha sido confirmada», dijeron los investigadores a The Hacker News, señalando que tales palabras clave también puede servir como funda.
XWorm es un malware básico que se anuncia a la venta en foros clandestinos y viene con una amplia gama de funciones que le permiten desviar información confidencial de los hosts infectados.
El malware también es una navaja suiza, ya que puede realizar operaciones de clipper, DDoS y ransomware, propagarse a través de USB y soltar malware adicional.
Los orígenes exactos del actor de amenazas actualmente no están claros, aunque Securonix dijo que la metodología de ataque comparte artefactos similares a los de TA558 , que se ha observado en la industria hotelera en el pasado.
«Aunque los correos electrónicos de phishing rara vez usan documentos de Microsoft Office desde que Microsoft tomó la decisión de deshabilitar las macros de forma predeterminada , hoy vemos pruebas de que aún es importante estar atento a los archivos de documentos maliciosos, especialmente en este caso donde no hubo ejecución de VBscript desde macros», dijeron los investigadores.
Fuente y redacción: thehackernews.com
