XFiles: aggiornamento per sfruttare Follina

XFiles: aggiornamento per sfruttare Follina

Il malware XFiles è stato aggiornato per sfruttare la vulnerabilità del tool MSDT e aumentare le probabilità di successo negli attacchi phishing.
Il malware XFiles è stato aggiornato per sfruttare la vulnerabilità del tool MSDT e aumentare le probabilità di successo negli attacchi phishing.

I ricercatori di Cyberint hanno scoperto una nuova versione del malware XFiles che sfrutta la vulnerabilità Follina del tool MSDT per accedere al computer e rubare diverse informazioni sensibili. Gli utenti che hanno installato le ultime patch di Windows e usano un  antivirus non corrono rischi. Il nome scelto dai cybercriminali è chiaramente ispirato alla famosa serie TV.

XFiles aggiunge il supporto a Follina

Gli esperti di Cyberint hanno rilevato l’uso della nuova versione in recenti attacchi di phishing. Il documento Word, scaricato quando l’utente clicca sul link presente nell’email, contiene un oggetto OLE che punta ad un file HTML. Quest’ultimo nasconde il codice JavaScript che sfrutta la vulnerabilità Follina di MSDT (Microsoft Diagnostic Tool) per eseguire i comandi PowerShell necessari per installare XFiles e creare la persistenza sul computer (avvio automatico del malware).

Successivamente XFiles inizia le sue attività di info-stealer, ovvero la raccolta di numerose informazioni: cookie, password, cronologia del browser, indirizzi dei wallet per criptovalute, credenziali di accesso a Telegram e Discord. I dati vengono memorizzati localmente all’interno di directory separate e quindi inviate al server remoto tramite Telegram. I cybercriminali possono controllare e gestire le operazioni attraverso un semplice pannello.

Cyberint ha scoperto che alla campagna “XFiles Reborn” partecipa l’autore di un altro noto info-stealer (Whisper Project). Inoltre i cybercriminali hanno avviato il progetto “Punisher Miner”, un tool per il miner di Monero, Toncoin e Ravencoin. Ciò evidenzia che la gang vuole incrementare il numero di membri e delle attività.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 1 lug 2022
Link copiato negli appunti