top of page

XWorm Malware Udnytter Follina Sårbarhed i Ny Bølge af Angreb

Cybersecurity-forskere har opdaget en igangværende phishing-kampagne, der bruger en unik angrebskæde til at levere XWorm-malwaren på målrettede systemer.


Malware, Xworm, Phishing, Sårbarhed, IT-Sikkerhed

Securonix, der overvåger aktivitetsklustret under navnet MEME#4CHAN, har rapporteret, at nogle af angrebene primært har målrettet fremstillingsvirksomheder og sundhedsklinikker i Tyskland.


"Angrebskampagnen har udnyttet ret usædvanlig meme-fyldt PowerShell-kode efterfulgt af en stærkt obfuskeret XWorm-payload for at inficere sine ofre," udtalte sikkerhedsforskerne Den Iuzvyk, Tim Peck og Oleg Kolesnikov i en ny analyse, som de delte med The Hacker News.


Rapporten bygger på nylige fund fra Elastic Security Labs, der afslørede trusselsaktørens reservationstema-lokker for at narre ofrene til at åbne ondsindede dokumenter, der er i stand til at levere XWorm- og Agent Tesla-payloads. Angrebene begynder med phishing-angreb for at distribuere Microsoft Word-dokumenter, der fungerer som afledningsmanøvrer og i stedet for at bruge makroer, udnytter sårbarheden Follina (CVE-2022-30190, CVSS-score: 7.8) til at droppe en obfuskeret PowerShell-script.


Herefter udnytter trusselsaktørerne PowerShell-scriptet til at omgå Antimalware Scan Interface (AMSI), deaktivere Microsoft Defender, etablere vedholdenhed og til sidst starte den .NET-binære fil, der indeholder XWorm. Interessant nok er en af variablerne i PowerShell-scriptet navngivet "$CHOTAbheem," hvilket sandsynligvis refererer til Chhota Bheem, en indisk animeret komedieeventyr-tv-serie.


"Baseret på en hurtig kontrol ser det ud til, at personen eller gruppen bag angrebet kan have en mellemøstlig/indisk baggrund, selvom den endelige tilskrivning endnu ikke er bekræftet," fortalte forskerne The Hacker News og påpegede, at sådanne søgeord også kan bruges som en form for skjul.


XWorm er en almindelig malware, der annonceres til salg på underjordiske fora og kommer med en bred vifte af funktioner, der gør det muligt at suge følsomme oplysninger ud af inficerede værter. Malwaren er også en schweizerkniv, da den kan udføre clipper-, DDoS- og ransomware-operationer, sprede sig via USB og droppe yderligere malware.


De nøjagtige oprindelser af trusselsaktøren er i øjeblikket uklare, selvom Securonix hævder, at angrebsmetoden deler artefakter, der ligner dem, der er blevet observerset i tidligere angreb mod hotelindustrien.


"Selvom phishing-e-mails sjældent bruger Microsoft Office-dokumenter, da Microsoft besluttede at deaktivere makroer som standard, ser vi i dag bevis for, at det stadig er vigtigt at være opmærksom på ondsindede dokumentfiler, især i dette tilfælde, hvor der ikke var nogen udførelse af VBScript fra makroer," udtalte forskerne.


XWorm-malwaren udgør en betydelig trussel mod målrettede systemer. Den har en bred vifte af funktioner, der gør det muligt for angriberne at stjæle følsomme oplysninger og udføre forskellige skadelige aktiviteter. Ud over at kunne fungere som en clipper, der stjæler kryptovaluta, en DDoS-værktøj og en ransomware, har XWorm også evnen til at sprede sig via USB-enheder og installere yderligere malware på de inficerede systemer.


Det er stadig uklart, hvor den nøjagtige oprindelse af trusselsaktøren er, men Securonix har bemærket, at angrebsmetoden og visse artefakter ligner dem, der er blevet set i tidligere angreb udført af TA558. Denne gruppe er tidligere blevet observeret med angreb rettet mod hotelindustrien.


Det er vigtigt at bemærke, at selvom makroer er blevet deaktiveret som standard i Microsoft Office, kan ondsindede angribere stadig udnytte sårbarheder og bruge alternative metoder til at narre brugere til at interagere med skadelige dokumenter. Det understreger vigtigheden af ​​at opretholde en høj grad af opmærksomhed og forsigtighed, når det kommer til at åbne e-mails eller downloade og åbne vedhæftede filer.


For at beskytte sig mod denne specifikke trussel anbefales det at have et effektivt antivirusprogram og opdatere det regelmæssigt. Det er også vigtigt at opretholde sikkerhedspatche og opdateringer for operativsystemet og alle andre softwareapplikationer for at minimere eksponeringen over for kendte sårbarheder. Endelig er det afgørende at øge bevidstheden om phishing-taktikker og lære at identificere mistænkelige e-mails og vedhæftede filer for at undgå at falde i fælden for denne type angreb.


Sikkerhedsforskere fortsætter med at overvåge denne phishing-kampagne og arbejder på at identificere de ansvarlige bag angrebet. I mellemtiden opfordres virksomheder og enkeltpersoner til at være opmærksomme og træffe passende foranstaltninger for at beskytte sig mod denne type malware-angreb. Ved at være proaktive og opretholde en høj grad af cyberhygiejne kan man minimere risikoen for at blive offer for XWorm-malware

Comments


bottom of page