Los investigadores de seguridad cibern\u00e9tica han descubierto una campa\u00f1a de phishing en curso que utiliza una cadena de ataque \u00fanica para entregar el malware XWorm en los sistemas objetivo.<\/p>\n\n\n\n
Securonix, que est\u00e1 rastreando el grupo de actividad bajo el nombre MEME#4CHAN , dijo que algunos de los ataques se han dirigido a empresas manufactureras y cl\u00ednicas de atenci\u00f3n m\u00e9dica ubicadas en Alemania.<\/p>\n\n\n\n
\u00abLa campa\u00f1a de ataque ha estado aprovechando un c\u00f3digo PowerShell lleno de memes bastante inusual, seguido de una carga XWorm muy ofuscada para infectar a sus v\u00edctimas\u00bb, dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un nuevo an\u00e1lisis compartido con The Hacker News .<\/p>\n\n\n\n
El informe se basa en hallazgos recientes de Elastic Security Labs, que revel\u00f3 los se\u00f1uelos tem\u00e1ticos de reserva del actor de amenazas para enga\u00f1ar a las v\u00edctimas para que abran documentos maliciosos capaces de entregar cargas \u00fatiles de XWorm y Agent Tesla.<\/p>\n\n\n\n
Los ataques comienzan con ataques de phishing para distribuir documentos se\u00f1uelo de Microsoft Word que, en lugar de usar macros, utilizan la vulnerabilidad de Follina (CVE-2022-30190, puntuaci\u00f3n CVSS: 7.8) como arma para colocar un script ofuscado de PowerShell.<\/p>\n\n\n\n
A partir de ah\u00ed, los actores de amenazas abusan del script de PowerShell para eludir la interfaz de an\u00e1lisis antimalware ( AMSI ), deshabilitan Microsoft Defender, establecen la persistencia y, en \u00faltima instancia, inician el binario .NET que contiene XWorm.<\/p>\n\n\n\n
Curiosamente, una de las variables en el gui\u00f3n de PowerShell se llama \u00ab$CHOTAbheem\u00bb, que probablemente sea una referencia a Chhota Bheem , una serie de televisi\u00f3n india de aventuras y comedia animada.<\/p>\n\n\n\n
\n\n\u00abSeg\u00fan una verificaci\u00f3n r\u00e1pida, parece que el individuo o el grupo responsable del ataque podr\u00eda tener antecedentes en el Medio Oriente o la India, aunque la atribuci\u00f3n final a\u00fan no ha sido confirmada\u00bb, dijeron los investigadores a The Hacker News, se\u00f1alando que tales palabras clave tambi\u00e9n puede servir como funda.<\/p>\n\n<\/blockquote>\n\n\n\n
XWorm es un malware b\u00e1sico que se anuncia a la venta en foros clandestinos y viene con una amplia gama de funciones que le permiten desviar informaci\u00f3n confidencial de los hosts infectados.<\/p>\n\n\n\n
El malware tambi\u00e9n es una navaja suiza, ya que puede realizar operaciones de clipper, DDoS y ransomware, propagarse a trav\u00e9s de USB y soltar malware adicional.<\/p>\n\n\n\n
Los or\u00edgenes exactos del actor de amenazas actualmente no est\u00e1n claros, aunque Securonix dijo que la metodolog\u00eda de ataque comparte artefactos similares a los de TA558 , que se ha observado en la industria hotelera en el pasado.<\/p>\n\n\n\n
\n\n\u00abAunque los correos electr\u00f3nicos de phishing rara vez usan documentos de Microsoft Office desde que Microsoft tom\u00f3 la decisi\u00f3n de deshabilitar las macros de forma predeterminada , hoy vemos pruebas de que a\u00fan es importante estar atento a los archivos de documentos maliciosos, especialmente en este caso donde no hubo ejecuci\u00f3n de VBscript desde macros\u00bb, dijeron los investigadores.<\/p>\n\n<\/blockquote>\n\n\n\n
\n\nFuente y redacci\u00f3n: thehackernews.com<\/p>\n\n\n
NOTICIAS DE CIBERSEGURIDAD EHC<\/p>\n\n\n