04/07/22
Исследователи из Cyberint заметили, что инфостилер XFiles использует уязвимость CVE-2022-30190 (Follina) для выполнения полезной нагрузки и сохранения на устройстве жертвы.
Вредоносный документ Word содержит OLE-объект, указывающий на HTML-файл на внешнем ресурсе, который содержит JavaScript-код, пишут в Securitylab. В результате выполняется PowerShell-команда для сохранения в каталоге Windows и запуска вредоносного ПО. Далее модуль второго этапа запускает зашифрованный шелл-код. Он расшифровывается ключом AES-дешифрования и выполняется в том же запущенном процессе через вызов API.
После заражения XFiles выполняет следующие действия:
- крадет cookie-файлы;
- крадет пароли и историю веб-браузера;
- определяет пароль криптокошелька;
- создаёт снимки экрана;
- компрометирует учетные данные Discord и Telegram.
Файлы хранятся локально во вновь созданных каталогах и незаметно извлекаются через Telegram.
По словам Cyberint, группа, стоящая за кампанией «XFiles Reborn», расширилась за счет набора новых членов и запуска новых проектов.
.png?width=650&name=content-img(158).png)
Группировка становится все больше и успешнее, набирая талантливых специалистов, чтобы предлагать клиентам «готовые к развертыванию» инструменты, не требующие знаний в области программирования.
