MEME#4CHAN, la campagna malspam sfrutta la nota vulnerabilità Follina

Negli ultimi mesi, il team di Securonix Threat Research ha identificato e monitorato una campagna malspam volta a distribuire il malware XWorm.

L’attività identificata con il nome MEME#4CHAN (sarebbe utilizzato codice pieno di meme e complessi metodi di offuscamento) avrebbe preso di mira principalmente aziende manifatturiere e sanitarie in Germania sfruttando la vulnerabilità CVE-2022-30190 (nota come Follina).

La vulnerabilità Follina

Ricordiamo che la vulnerabilità Follina con punteggio CVSS: 7.8 è stata scoperta alla fine di maggio 2022 e successivamente corretta in occasione del Patch Tuesday di giugno 2022.

Malware XWorm

XWorm è un malware venduto su forum underground dotato di un’ampia gamma di funzionalità per il furto di informazioni sensibili e capace di eseguire anche operazioni clipper, DDoS, ransomware e ulteriore codice malevolo.

La catena d’attacco

La catena di attacco inizierebbe con e-mail di phishing per distribuire documenti Microsoft Word che invece di utilizzare macro, sfruttano la vulnerabilità CVE-2022-30190 per rilasciare uno script PowerShell offuscato.

Catena d’attacco (Fonte Securonix)

Lo script PowerShell servirebbe per aggirare la scansione antimalware, disabilitare Microsoft Defender, stabilire la persistenza e infine avviare il payload XWorm v3.1 tramite un file binario .NET.

Consigli di mitigazione

Securonix raccomanda di evitare di aprire allegati, in particolare quelli inattesi o esterni all’organizzazione e di essere più vigili con i documenti Microsoft, anche se non sono presentano macro.

“Sebbene le e-mail di phishing utilizzino raramente i documenti di Microsoft Office poiché Microsoft ha preso la decisione di disabilitare le macro per impostazione predefinita, oggi stiamo vedendo la prova che è ancora importante essere vigili sui file di documenti dannosi, specialmente in questo caso in cui non è stata eseguita l’esecuzione di VBscript da macro”, commentano i ricercatori.

Poiché, CVE-2022-30190 è una vulnerabilità di gravità elevata che consente a un attore malintenzionato di fornire qualsiasi tipo di malware tramite un documento Microsoft Word, si consiglia a tutti gli utenti, se non già fatto, di applicare la correzione rilasciata a giugno 2022.

La matrice dell’attuale attacco non è certa.

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.