
Negli ultimi mesi, il team di Securonix Threat Research ha identificato e monitorato una campagna malspam volta a distribuire il malware XWorm.
L’attività identificata con il nome MEME#4CHAN (sarebbe utilizzato codice pieno di meme e complessi metodi di offuscamento) avrebbe preso di mira principalmente aziende manifatturiere e sanitarie in Germania sfruttando la vulnerabilità CVE-2022-30190 (nota come Follina).
La vulnerabilità Follina
Ricordiamo che la vulnerabilità Follina con punteggio CVSS: 7.8 è stata scoperta alla fine di maggio 2022 e successivamente corretta in occasione del Patch Tuesday di giugno 2022.
Malware XWorm
XWorm è un malware venduto su forum underground dotato di un’ampia gamma di funzionalità per il furto di informazioni sensibili e capace di eseguire anche operazioni clipper, DDoS, ransomware e ulteriore codice malevolo.
La catena d’attacco
La catena di attacco inizierebbe con e-mail di phishing per distribuire documenti Microsoft Word che invece di utilizzare macro, sfruttano la vulnerabilità CVE-2022-30190 per rilasciare uno script PowerShell offuscato.

Lo script PowerShell servirebbe per aggirare la scansione antimalware, disabilitare Microsoft Defender, stabilire la persistenza e infine avviare il payload XWorm v3.1 tramite un file binario .NET.
Consigli di mitigazione
Securonix raccomanda di evitare di aprire allegati, in particolare quelli inattesi o esterni all’organizzazione e di essere più vigili con i documenti Microsoft, anche se non sono presentano macro.
“Sebbene le e-mail di phishing utilizzino raramente i documenti di Microsoft Office poiché Microsoft ha preso la decisione di disabilitare le macro per impostazione predefinita, oggi stiamo vedendo la prova che è ancora importante essere vigili sui file di documenti dannosi, specialmente in questo caso in cui non è stata eseguita l’esecuzione di VBscript da macro”, commentano i ricercatori.
Poiché, CVE-2022-30190 è una vulnerabilità di gravità elevata che consente a un attore malintenzionato di fornire qualsiasi tipo di malware tramite un documento Microsoft Word, si consiglia a tutti gli utenti, se non già fatto, di applicare la correzione rilasciata a giugno 2022.
La matrice dell’attuale attacco non è certa.