Los expertos en seguridad han detectado una campaña de phishing en curso que emplea una cadena de ataque distintiva para distribuir el malware XWorm . Apodado MEME#4CHAN, este grupo de actividad maliciosa se ha observado dirigido a empresas manufactureras y de atención médica con sede en Alemania.
¿Qué está pasando en la campaña de phishing?
La campaña de ataque ha estado utilizando un código PowerShell inusual lleno de memes. El código es seguido por una carga útil XWorm fuertemente ofuscada para apuntar a sus víctimas.
- Un informe ha revelado que los atacantes utilizaron señuelos con temas de reserva de hotel para engañar a las víctimas para que abrieran documentos maliciosos. Los documentos entregan cargas útiles de Agent Tesla y XWorm.
- Para difundir los documentos de Word señuelo, los atacantes utilizan tácticas de phishing que aprovechan la vulnerabilidad de Follina ( CVE-2022-30190 ) y sueltan un script de PowerShell ofuscado.
- Luego, se abusa de este script para deshabilitar Microsoft Defender, evadir la interfaz de escaneo antimalware (AMSI), establecer la persistencia e iniciar el binario .NET que contiene XWorm.
Capacidad de XWorm
XWorm es un tipo de malware básico que viene con una amplia gama de funciones y se puede obtener fácilmente en foros clandestinos. Este programa malicioso permite a los atacantes recopilar información confidencial de las víctimas infectadas y también realizar una variedad de otras acciones maliciosas, como lanzar ataques DDoS, realizar operaciones de ransomware o lanzar cargas útiles adicionales en la máquina comprometida.
¿Quién está detrás de la campaña de phishing?
En particular, una de las variables utilizadas en el script de PowerShell se llama ‘$CHOTAbheem’. Esta variable es una referencia a una serie de televisión de aventuras de comedia animada india conocida como Chhota Bheem.
- Según los expertos, parece que el grupo o un individuo responsable del ataque podría tener antecedentes en el Medio Oriente o la India. Sin embargo, la atribución final aún no está confirmada.
- Además, la metodología de ataque comparte artefactos similares al grupo de motivación financiera TA558 , que se ha centrado en el sector de la hostelería en el pasado.
Conclusión
A pesar de que Microsoft ha desactivado las macros de forma predeterminada, los atacantes explotan cada vez más la vulnerabilidad de Follina. Esto destaca la importancia de mantener actualizados los parches de seguridad. También es importante permanecer alerta en caso de que la ejecución de VBScript no se produzca desde las macros.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.