Los investigadores de seguridad cibernética han descubierto una campaña de phishing en curso que utiliza una cadena de ataque única para entregar el malware XWorm en los sistemas objetivo.
Securonix, que está rastreando el grupo de actividad bajo el nombre MEME#4CHANdijo que algunos de los ataques se han dirigido principalmente a empresas manufactureras y clínicas de atención médica ubicadas en Alemania.
«La campaña de ataque ha estado aprovechando un código PowerShell lleno de memes bastante inusual, seguido de una carga XWorm muy ofuscada para infectar a sus víctimas», dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un nuevo análisis compartido con The Hacker News.
El informe se basa hallazgos recientes de Elastic Security Labs, que reveló los señuelos temáticos de reserva del actor de amenazas para engañar a las víctimas para que abran documentos maliciosos capaces de entregar cargas útiles de XWorm y Agent Tesla.
Los ataques comienzan con ataques de phishing para distribuir documentos señuelo de Microsoft Word que, en lugar de usar macros, utilizan la vulnerabilidad de Follina (CVE-2022-30190, puntuación CVSS: 7.8) como arma para colocar un script ofuscado de PowerShell.
A partir de ahí, los actores de amenazas abusan del script de PowerShell para eludir la interfaz de análisis antimalware (AARMI), deshabilite Microsoft Defender, establezca la persistencia y, en última instancia, inicie el binario .NET que contiene XWorm.
Curiosamente, una de las variables en el script de PowerShell se llama «$CHOTAbheem», que probablemente sea una referencia a Chhota Bheemuna serie de televisión de aventuras de comedia animada india.
«Según una verificación rápida, parece que el individuo o el grupo responsable del ataque podría tener antecedentes en el Medio Oriente o la India, aunque la atribución final aún no ha sido confirmada», dijeron los investigadores a The Hacker News, señalando que tales palabras clave también puede servir como funda.
XWorm es un software malicioso de productos básicos que se anuncia a la venta en foros clandestinos y viene con una amplia gama de funciones que le permiten desviar información confidencial de los hosts infectados.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
El malware también es una navaja suiza, ya que puede realizar operaciones de clipper, DDoS y ransomware, propagarse a través de USB y soltar malware adicional.
Los orígenes exactos del actor de amenazas no están claros actualmente, aunque Securonix dijo que la metodología de ataque comparte artefactos similares a los de TA558, que se ha observado en la industria hotelera en el pasado.
«Aunque los correos electrónicos de phishing rara vez usan documentos de Microsoft Office desde que Microsoft tomó la decisión de deshabilitar las macros de forma predeterminada, hoy vemos pruebas de que aún es importante estar atento a los archivos de documentos maliciosos, especialmente en este caso donde no hubo ejecución de VBscript desde macros», dijeron los investigadores.