Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Инфостилер XFiles атакует Windows с помощью уязвимости Follina

04/07/22

Исследователи из Cyberint заметили, что инфостилер XFiles использует уязвимость CVE-2022-30190 (Follina) для выполнения полезной нагрузки и сохранения на устройстве жертвы.

Вредоносный документ Word содержит OLE-объект, указывающий на HTML-файл на внешнем ресурсе, который содержит JavaScript-код, пишут в Securitylab. В результате выполняется PowerShell-команда для сохранения в каталоге Windows и запуска вредоносного ПО. Далее модуль второго этапа запускает зашифрованный шелл-код. Он расшифровывается ключом AES-дешифрования и выполняется в том же запущенном процессе через вызов API.

После заражения XFiles выполняет следующие действия:

  • крадет cookie-файлы;
  • крадет пароли и историю веб-браузера;
  • определяет пароль криптокошелька;
  • создаёт снимки экрана;
  • компрометирует учетные данные Discord и Telegram.

Файлы хранятся локально во вновь созданных каталогах и незаметно извлекаются через Telegram.

По словам Cyberint, группа, стоящая за кампанией «XFiles Reborn», расширилась за счет набора новых членов и запуска новых проектов.

content-img(158)

Группировка становится все больше и успешнее, набирая талантливых специалистов, чтобы предлагать клиентам «готовые к развертыванию» инструменты, не требующие знаний в области программирования.

Темы:WindowsУгрозыинфостилерыMicrosoft Word
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...