Los investigadores de ciberseguridad han descubierto una campaña de phishing en curso que utiliza una cadena de ataques única para entregar el malware XWorm en sistemas específicos.
Securonix, que está rastreando el grupo de actividad bajo el nombre de MEME#4CHAN, dijo que algunos de los ataques se han dirigido principalmente a empresas manufactureras y clínicas de salud ubicadas en Alemania. "La campaña de ataque ha estado utilizando un código de PowerShell lleno de memes inusual, seguido de una carga útil de XWorm fuertemente ofuscada para infectar a sus víctimas", dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un nuevo análisis compartido con The Hacker News.
El informe se basa en hallazgos recientes de Elastic Security Labs, que revelaron señuelos temáticos relacionados con reservas para engañar a las víctimas y hacer que abran documentos maliciosos capaces de entregar las cargas útiles de XWorm y Agent Tesla.
Los ataques comienzan con ataques de phishing para distribuir documentos de Microsoft Word falsos que, en lugar de utilizar macros, aprovechan la vulnerabilidad Follina (CVE-2022-30190, puntuación CVSS: 7.8) para descargar un script de PowerShell ofuscado. A partir de ahí, los actores de amenazas abusan del script de PowerShell para evadir la Interfaz de Escaneo Antimalware (AMSI), desactivar Microsoft Defender, establecer persistencia y finalmente ejecutar el archivo binario .NET que contiene XWorm.
Curiosamente, una de las variables en el script de PowerShell se llama "$CHOTAbheem", que probablemente sea una referencia a Chhota Bheem, una serie de televisión de comedia y aventuras animada de la India.
"Según una verificación rápida, parece que el individuo o grupo responsable del ataque podría tener antecedentes de Oriente Medio/India, aunque la atribución final aún no se ha confirmado", dijeron los investigadores a The Hacker News, señalando que dichas palabras clave también podrían usarse como cobertura. XWorm es un malware de tipo genérico que se anuncia para su venta en foros clandestinos y cuenta con una amplia gama de características que le permiten extraer información sensible de los sistemas infectados.
El malware también es una navaja suiza en el sentido de que puede realizar operaciones de clipper, ataques de denegación de servicio (DDoS) y ransomware, propagarse a través de USB y descargar malware adicional.
Las verdaderas raíces del actor de amenazas no están claras en este momento, aunque Securonix dijo que la metodología del ataque comparte artefactos similares a los de TA558, que se ha observado atacando a la industria hotelera en el pasado.
"Aunque los correos electrónicos de phishing rara vez utilizan documentos de Microsoft Office desde que Microsoft decidió desactivar las macros de forma predeterminada, hoy estamos viendo pruebas de que aún es importante estar alerta ante archivos de documentos maliciosos, especialmente en este caso en el que no hubo ejecución de VBScript desde las macros", dijeron los investigadores.
¿Quieres saber más?
Comments