كشفت تقارير أمنية حديثة عن حملة تصيد احتيالي نشطة تستهدف المستخدمين عبر البريد الإلكتروني، وتستخدم نسخة محدثة من برمجية XWorm الخبيثة، المعروفة بكونها حصان طروادة للوصول عن بعد (RAT). تهدف هذه الحملة إلى منح المهاجمين سيطرة كاملة عن بعد على أنظمة ويندوز المصابة.
تُعد برمجية XWorm، التي تم رصدها لأول مرة في عام 2022، تهديدًا مستمرًا، حيث يتم تداولها بشكل متكرر عبر أسواق تطبيق تيليجرام، مما يسهل وصولها إلى أيدي الجهات التهديدية المختلفة.
حملة XWorm تستغل ثغرة قديمة في مايكروسوفت إكسل
في أحدث تطوراتها، لجأ المهاجمون إلى استخدام عدة سمات لرسائل البريد الإلكتروني ذات الطابع التجاري، مثل مراجعات تفاصيل الدفع، وأوامر الشراء، ووثائق الشحن الموقعة. هدفت هذه الأساليب إلى خداع المستلمين وحثهم على فتح مرفقات مصابة بصيغة Excel add-in (.XLAM).
تتبع هذه الحملة يأتي بعد رصد نشاطها الميداني من قبل باحثين في Fortinet. وقد وثق الباحثون كيفية استغلال ملف Excel المصمم خصيصًا لثغرة CVE-2018-0802. تعد هذه الثغرة، المتعلقة بمحرر المعادلات في مايكروسوفت (EQNEDT32.EXE)، ثغرة تنفيذ تعليمات برمجية عن بعد لا تزال مستخدمة في هجمات فعلية.
ويشير تحليلهم إلى وجود كائن OLE مضمن معدّ للاستدعاء التلقائي، يؤدي إلى تنفيذ شيفرة خبيثة (shellcode) فور فتح الملف، مما يزيد من مخاطر سرقة الحسابات، وفقدان البيانات، والتحكم الكامل في النظام.
آلية الإصابة المفصلة
عند استغلال ثغرة CVE-2018-0802، تبدأ الشيفرة الخبيثة بتنزيل ملف HTA من العنوان “retrodayaengineering[.]icu/HGG.hta” وحفظه في مسار “%APPDATA%VA5.hta”. بعد ذلك، يتم تشغيله عبر وظيفة ShellExecuteExW.
هذه الخطوة تحول سلسلة الهجوم من استغلال مستند إلى تنفيذ يعتمد على البرمجة النصية، مما يساعد المهاجم في التخفي ضمن الأنشطة العادية لنظام ويندوز أثناء تجهيز الحمولة الخبيثة.
بعد ذلك، يعمل ملف HTA المشفر عبر mshta.exe، ثم يقوم بإسقاط حمولة PowerShell بتنسيق Base64. تقوم هذه الحمولة بجلب ملف “optimized_MSI_lpsd9p.jpg” من عنوان URL على خدمة Cloudinary، ثم يقوم باستخراج وحدة .NET مخفية موجودة بين علامتي “BaseStart” و “-BaseEnd”.
يتم تمويه هذه الوحدة التحميلية باسم التجميع “Microsoft.Win32.TaskScheduler”، وتعمل مباشرة في الذاكرة دون ترك أثر على القرص الصلب في المراحل الأولى، مما يوفر طبقة إضافية من التخفي.
بعد ذلك، تقوم الوحدة التحميلية المبنية على .NET بفك تشفير عنوان URL معكوس بتنسيق Base64، وتجلب ملف “wwa.txt” من الموقع “pub-3bc1de741f8149f49bdbafa703067f24[.]r2[.]dev”. ثم تقوم بإعادة بناء حمولة XWorm في الذاكرة، وحقنها في عملية Msbuild.exe جديدة تم إنشاؤها باستخدام تقنية “process hollowing”.
بعد التنفيذ، تقوم البرمجية الخبيثة بفك تشفير تكويناتها، وتتصل بالخادم “berlin101[.]com:6000” باستخدام اتصالات مشفرة ببروتوكول AES. لذلك، تشمل التوصيات الأمنية الهامة تصحيح الثغرات المتعلقة بمحرر المعادلات، وحظر أو عزل مسارات تنفيذ ملفات .XLAM و HTA، وتشديد الضوابط على استخدام mshta.exe و PowerShell و Msbuild.exe، بالإضافة إلى إضافة اكتشافات للأسماء المجالات وعناوين URL المذكورة.