持续的网络钓鱼攻击正在传播 XWorm 恶意软件

关键要点

• 当前网络钓鱼攻击利用 Follina 漏洞（CVE-2022-30190）
• 恶意程序通过伪装的 PowerShell 脚本进行部署
• XWorm 拥有多种攻击能力，包括勒索软件和 DDoS 攻击
• 可能与中东或印度背景的攻击者有关

近期的网络钓鱼攻击通过一种新颖的攻击链传播 XWorm 恶意软件。这种攻击链涉及利用和包含大量表情包的 PowerShell 代码，正如所报道的那样。根据 Securonix 的报告，这一攻击活动被归属于 MEME#4CHAN 活动集群，利用 Microsoft Word 文件中的 CVE-2022-30190 来部署一个被混淆的 PowerShell 脚本。该脚本被用来规避反恶意软件和 Microsoft Defender 的扫描，从而部署包含 XWorm 的 .NET 二进制文件。

除了具备窃取、勒索软件和分布式拒绝服务攻击的能力外，XWorm 还可能允许额外恶意软件的部署，并且可能通过 USB进行传播。研究人员表示：“根据初步检查，负责此次攻击的个人或团体可能具有中东或印度背景，虽然最终的归属尚未得到确认。”同时，他们还提到该攻击方法与 TA558 存在相似之处。

注 : 防范此类攻击的关键在于保持软件更新并避免打开不明来源的邮件附件。