Инфостилер XFiles атакует Windows с помощью уязвимости Follina

Пт 1 Июль 2022 12:22

Исследователи из Cyberint заметили, что инфостилер XFiles использует уязвимость CVE-2022-30190 ( Follina ) для выполнения полезной нагрузки и сохранения на устройстве жертвы.

Вредоносный документ Word содержит OLE-объект, указывающий на HTML-файл на внешнем ресурсе, который содержит JavaScript-код. В результате выполняется PowerShell-команда для сохранения в каталоге Windows и запуска вредоносного ПО. Далее модуль второго этапа запускает зашифрованный шелл-код. Он расшифровывается ключом AES-дешифрования и выполняется в том же запущенном процессе через вызов API.

После заражения XFiles выполняет следующие действия:

Файлы хранятся локально во вновь созданных каталогах и незаметно извлекаются через Telegram.

По словам Cyberint, группа, стоящая за кампанией «XFiles Reborn», расширилась за счет набора новых членов и запуска новых проектов.

Группировка становится все больше и успешнее, набирая талантливых специалистов, чтобы предлагать клиентам «готовые к развертыванию» инструменты, не требующие знаний в области программирования.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 23 часа 59 минут 16 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.