XFiles恶意软件更新信息窃取模块

关键要点

• XFiles恶意软件现已更新，利用Follina漏洞下载和执行有效载荷。
• 攻击者使用恶意文档和JavaScript代码针对Windows系统。
• 它正在窃取浏览器存储的Cookies、密码和历史记录，以及加密货币钱包信息。
• 新成员加入XFiles团队，其中包括Whisper Project的作者。

XFiles信息窃取者的背后攻击者已对其恶意软件进行了更新，增加了一种利用的投放模块，以便于有效载荷的下载和执行。根据Cyberint研究人员的发现，最近的XFiles恶意软件活动涉及一种存在OLE对象的恶意文档，指向含有利用Follina漏洞的JavaScript代码的HTMLM文件。攻击者通过检索的base64编码字符串和PowerShell命令建立了Windows启动目录的持久性，而第二阶段模块则观察到了硬编码的加密shellcode和AES解密密钥。

关键功能 | 描述
—|—
利用Follina漏洞 | 下载和执行有效载荷
恶意文档 | 包含OLE对象和JavaScript代码
数据窃取 | 窃取浏览器存储的Cookies、密码和历史记录、加密货币钱包
新成员招募 | 包括Whisper Project的信息窃取者作者

根据该报告，XFiles模块在感染后专门瞄准网络浏览器中存储的Cookies、密码和历史记录。同时，该恶意软件还试图窃取Discord和Telegram的凭据，并捕获屏幕截图。Cyberint注意到XFiles的重生操作正在扩大，招募了包括WhisperProject信息窃取者作者在内的新成员。攻击者的持续创新和扩展令人警觉，用户需提高对网络安全的重视。