Необычная фишинговая кампания используюет мемы в качестве переменных вредоносного кода

Эксперты по кибербезопасности обнаружили новую фишинговую кампанию, в ходе которой злоумышленники используют уникальную цепочку атак для доставки вредоносной программы XWorm на целевые системы.

Компания Securonix, которая отслеживает эту зловредную активность под названием «MEME#4CHAN», сообщила, что большинство атак были направлены на производственные предприятия и медицинские клиники в Германии. Это передает Securitylab.

«В рамках данной операции злоумышленники использовали необычный код на языке PowerShell, наполненный мемами, и сильно обфусцированный вредонос XWorm для заражения своих жертв», — заявили исследователи в своём отчёте .

По сообщениям специалистов, атаки MEME#4CHAN начинаются с фишинговых писем с поддельными документы Microsoft Word, которые эксплуатируют уязвимость Windows CVE-2022-30190 для загрузки обфусцированного скрипта PowerShell.

В ходе анализа данного PowerShell-скрипта исследователи столкнулись с множеством переменных, имеющих довольно интересные и необычные название, с явной отсылкой на зарубежную мем-культуру. Так, некоторые переменные имели следующие названия:

• $CHOTAbheem (название индийского мультипликационного сериала)
• $Pentagone
• $NuclearDefusion
• $MEME2026
• $Shakalakaboomboom
• $Colaburbumbum
• $Sexybunbun

Злоумышленники использовали вышеупомянутый PowerShell-скрипт для обхода AMSI, отключения Microsoft Defender, настройки постоянства в целевой системе и, наконец, запуска .NET-бинарника, содержащего XWorm.

XWorm — это коммерческое вредоносное ПО, которое продается на подпольных форумах и имеет широкий спектр функций, позволяющих похищать конфиденциальную информацию с зараженных хостов. А возможность скачивать дополнительные полезные нагрузки значительно расширяет функционал программы, делая её своеобразным универсальным швейцарским ножом в киберпреступном мире.

«По предварительной проверке кажется, что лицо или группа, ответственная за атаку, могут иметь Ближневосточное/Индийское происхождение, хотя окончательная принадлежность ещё не подтверждена», — сообщили исследователи.