تعمل حملة التصيد الاحتيالي التي تمت ملاحظتها مؤخرًا على الاستفادة من ثغرة أمنية Follina التي تم الكشف عنها مؤخرًا لتوزيع باب خلفي غير موثق سابقًا على أنظمة Windows.
وقالت كارا لين الباحثة في Fortinet FortiGuard Labs في تقرير هذا الأسبوع : "Rozena عبارة عن برنامج ضار خلفي قادر على حقن اتصال صدفة بعيد بجهاز المهاجم" .
تم تتبعها على أنها CVE-2022-30190، تعرضت ثغرة تنفيذ التعليمات البرمجية لـ Microsoft Windows Support (MSDT) المصححة الآن لاستغلال مكثف في الأسابيع الأخيرة منذ ظهورها في أواخر مايو 2022.
نقطة البداية لسلسلة الهجمات الأخيرة التي لاحظتها Fortinet هي مستند Office مُسلح والذي، عند فتحه، يتصل بـ Discord CDN URL لاسترداد ملف HTML (" index.htm ") والذي بدوره يستدعي أداة التشخيص باستخدام أمر PowerShell لتنزيل حمولات المرحلة التالية من نفس مساحة مرفق CDN.
يتضمن هذا غرسة Rozena ("Word.exe") وملف دفعي ("cd.bat") المصمم لإنهاء عمليات MSDT، وإنشاء استمرار الباب الخلفي عن طريق تعديل سجل Windows، وتنزيل مستند Word غير ضار.
تتمثل الوظيفة الأساسية للبرامج الضارة في حقن كود قشرة يطلق قذيفة عكسية لمضيف المهاجم ("microsofto.duckdns [.] org")، مما يسمح للمهاجم في النهاية بالتحكم في النظام المطلوب لمراقبة المعلومات والتقاطها، مع الحفاظ أيضًا على الباب الخلفي للنظام المخترق.
يأتي استغلال ثغرة Follina لتوزيع البرامج الضارة من خلال مستندات Word الضارة في شكل هجمات هندسة اجتماعية تعتمد على Microsoft Excel و Windows Shortcut (LNK) وملفات صور ISO كقطرات لنشر البرامج الضارة مثل Emotet و QBot و IcedID و Bumblebee إلى جهاز الضحية.