A Windows hibájára ugrott rá az XFiles trójai

​Az XFiles trójai program elkezdte kihasználni a nemrégen felfedezett és javított Follina sebezhetőséget.
 

A CVE-2022-30190 azonosítószám alatt nyilvántartott Follina sérülékenységről először májusban lehetett hallani, amikor azt egyből a nulladik napi sebezhetőségek közé kellett sorolni. A Microsoft viszonylag gyorsan lépett, hiszen a júniusi hibajavító kedden elérhetővé tette a biztonsági rés befoltozásához szükséges frissítéseket. A Microsoft Support Diagnostic Tool (MSDT) kapcsán feltárt sebezhetőségről az is kiderült, hogy jogosulatlan távoli kódfuttatáshoz is hozzájárulhat, illetve PowerShellel történő visszaélésekre ad módot. Ezt pedig most már az XFiles trójai is képes a saját javára fordítani.
 
A Cyberint biztonsági kutatói szerint az XFiles trójai az esetek többségében kéretlen elektronikus levelek révén terjed. Különféle módszerekkel próbálja elérni, hogy a PC-n egy speciálisan szerkesztett HTML-állomány megnyíljon, amely egy JavaScript kódot is tartalmaz. Ennek révén, valamint a Follina kihasználásával a trójai lefuttat egy PowerShell parancsot, amivel biztosítja az állandó jelenlétet az immár megfertőzött számítógépen.
 
A fertőzés második lépéseként a trójai elkezdi a számára értékes adatok begyűjtését. Ennek során webböngészőkbe elmentett felhasználói és hitelesítő adatokat exportál ki, kriptopénztárcákhoz tartozó információkat gyűjt össze, képernyőképeket készít, valamint Discord és Telegram fiókadatokat próbál megkaparintani. Ezt követően az összegyűjtött adatokat kiszivárogtatja egy távoli vezérlőszerverre.