#Microsoft #xworm
Des chercheurs en cybersécurité ont découvert une campagne de phishing en cours qui utilise une chaîne d’attaque unique pour distribuer le malware XWorm sur des systèmes ciblés.
Securonix, qui suit le groupe d’activité sous le nom de MEME#4CHAN, a déclaré que certaines attaques visaient principalement des entreprises manufacturières et des cliniques de santé en Allemagne.
La campagne d’attaque utilise un code PowerShell rempli de mèmes inhabituels, suivi d’une charge utile XWorm lourdement obfusquée pour infecter ses victimes, ont déclaré les chercheurs en sécurité Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans une nouvelle analyse partagée avec The Hacker News.
Ce rapport fait suite aux découvertes récentes d’Elastic Security Labs, qui ont révélé les leurres sur le thème des réservations utilisés par les acteurs de menace pour tromper les victimes et leur faire ouvrir des documents malveillants capables de distribuer XWorm et Agent Tesla.
Les attaques commencent par des attaques de phishing visant à distribuer de faux documents Microsoft Word qui, au lieu d’utiliser des macros, exploitent la vulnérabilité Follina (CVE-2022-30190, score CVSS : 7,8) pour lancer un script PowerShell obfusqué.
Ensuite, les acteurs de menace abusent du script PowerShell pour contourner l’interface de numérisation antimalware (AMSI), désactiver Microsoft Defender, établir la persistance et finalement exécuter le binaire .NET contenant XWorm.
Fait intéressant, l’une des variables du script PowerShell est nommée « $CHOTAbheem », qui est probablement une référence à Chhota Bheem, une série télévisée animée indienne comique et d’aventure.
« D’après une vérification rapide, il semble que la personne ou le groupe responsable de l’attaque pourrait avoir des origines moyen-orientales/indiennes, bien que l’attribution finale n’ait pas encore été confirmée », ont déclaré les chercheurs à The Hacker News, soulignant que de tels mots-clés pourraient également servir de couverture.
XWorm est un malware vendu sur des forums clandestins et il possède de nombreuses fonctionnalités lui permettant d’extraire des informations sensibles des hôtes infectés.
Le malware est également un couteau suisse en ce sens qu’il peut effectuer des opérations de clipper, DDoS et de rançongiciel, se propager via USB et déposer d’autres malwares.
Les origines exactes de l’acteur de menace ne sont pas claires pour le moment, bien que Securonix ait déclaré que la méthodologie de l’attaque présente des similitudes avec celle de TA558, qui a déjà été observée dans l’industrie de l’hôtellerie.
« Bien que les e-mails de phishing n’utilisent que rarement des documents Microsoft Office depuis que Microsoft a décidé de désactiver les macros par défaut, nous constatons aujourd’hui la preuve qu’il est toujours important de rester vigilant face aux fichiers de documents malveillants, surtout dans ce cas où il n’y a pas eu d’exécution de VBscript