I ricercatori di Cyberint hanno scoperto una nuova versione del malware XFiles che sfrutta la vulnerabilità Follina del tool MSDT per accedere al computer e rubare diverse informazioni sensibili. Gli utenti che hanno installato le ultime patch di Windows e usano un antivirus non corrono rischi. Il nome scelto dai cybercriminali è chiaramente ispirato alla famosa serie TV.
XFiles aggiunge il supporto a Follina
Gli esperti di Cyberint hanno rilevato l’uso della nuova versione in recenti attacchi di phishing. Il documento Word, scaricato quando l’utente clicca sul link presente nell’email, contiene un oggetto OLE che punta ad un file HTML. Quest’ultimo nasconde il codice JavaScript che sfrutta la vulnerabilità Follina di MSDT (Microsoft Diagnostic Tool) per eseguire i comandi PowerShell necessari per installare XFiles e creare la persistenza sul computer (avvio automatico del malware).
Successivamente XFiles inizia le sue attività di info-stealer, ovvero la raccolta di numerose informazioni: cookie, password, cronologia del browser, indirizzi dei wallet per criptovalute, credenziali di accesso a Telegram e Discord. I dati vengono memorizzati localmente all’interno di directory separate e quindi inviate al server remoto tramite Telegram. I cybercriminali possono controllare e gestire le operazioni attraverso un semplice pannello.
Cyberint ha scoperto che alla campagna “XFiles Reborn” partecipa l’autore di un altro noto info-stealer (Whisper Project). Inoltre i cybercriminali hanno avviato il progetto “Punisher Miner”, un tool per il miner di Monero, Toncoin e Ravencoin. Ciò evidenzia che la gang vuole incrementare il numero di membri e delle attività.