Tabla of Contenidos
Introducción: El creciente peligro de Xworm
Investigadores especializados en ciberseguridad han detectado una alarmante campaña de phishing en progreso. Esta campaña emplea una táctica de ataque única para infiltrar el malware conocido como Xworm en los sistemas seleccionados. El grupo de investigación Securonix, que está monitoreando este conjunto de actividades bajo el nombre de meme#4chan, ha revelado que algunos de estos ataques se han centrado principalmente en empresas de manufactura y clínicas de salud en Alemania.
El ingenioso enfoque de Xworm: Uso de código Powershell y memes
El enfoque del ataque ha sido aprovechar un peculiar código Powershell repleto de memes, seguido de un paquete de Xworm altamente ofuscado para infectar a las víctimas. Los expertos en seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov han compartido su análisis sobre esta situación con Hacker News. Este análisis se basa en las recientes revelaciones de Elastic Security Labs, que descubrieron los trucos utilizados por el agente de amenaza para engañar a las víctimas y hacer que abran documentos malintencionados capaces de entregar las cargas de Xworm y el agente Tesla.
Metodología de ataque: Abuso de vulnerabilidades y scripts de PowerShell
Los ataques se inician con intentos de phishing para distribuir documentos señuelo de Microsoft Word que, en lugar de usar macros, explotan la vulnerabilidad Follina (CVE-2022-30190, puntuación CVSS: 7.8) para lanzar un script de PowerShell ofuscado. Los agentes de amenaza utilizan este script de PowerShell para eludir la interfaz de escaneo de antimalware (AMSI), inhabilitar el defensor de Microsoft, establecer persistencia y, finalmente, lanzar el binario .NET que contiene Xworm.
Los misteriosos orígenes de Xworm y el agente de amenaza
Una de las variables en el script de PowerShell se llama «$ chotabheem», lo que probablemente es una referencia a Chhota Bheem, una popular serie de televisión animada de la India. Esto ha llevado a los investigadores a sospechar que el individuo o grupo responsable del ataque podría tener un origen del Oriente Medio o India, aunque la atribución final aún no se ha confirmado. Xworm es un malware de productos básicos que se vende en foros subterráneos y tiene una amplia gama de características que le permiten robar información confidencial de los sistemas infectados.
Conclusión: La importancia de mantenerse alerta
Los orígenes exactos del agente de amenaza actualmente no están claros, aunque Securonix mencionó que la metodología de ataque muestra similitudes con la de TA558, un actor deamenaza que se ha observado atacando a la industria de la hospitalidad en el pasado. A pesar de que los correos electrónicos de phishing rara vez utilizan documentos de Microsoft Office desde que Microsoft decidió deshabilitar las macros por defecto, los investigadores advierten que aún es crucial estar atentos a los archivos de documentos malintencionados.
