Een e-mail over een salarisverhoging is gebruikt bij een aanval op Europese overheden, zo stelt securitybedrijf Proofpoint dat meerdere van de berichten bij klanten onderschepte. De berichten hebben als onderwerp "Your new salary" en stellen dat de ontvanger een salarisverhoging van twintig procent krijgt.
Om de salarisverhoging te bevestigen moet de meegestuurde arbeidsovereenkomst worden ondertekend en teruggestuurd. Het meegestuurde rtf-document bevat echter een exploit die misbruik maakt van een zerodaylek in de Windows Support Diagnostic Tool (MSDT) met de naam "Folina" of CVE-2022-30190 waar nog altijd geen beveiligingsupdate van Microsoft voor beschikbaar is. Wel heeft Microsoft een workaround gepubliceerd die bestaat uit het uitschakelen van het MSDT-protocol.
Via de exploit in het document wordt een Powershell-script gedownload en uitgevoerd. Dit script steelt informatie uit browsers, e-mailclients en file servers op het systeem en stuurt die middels een zip-bestand terug naar een specifiek ip-adres. Eerder liet ook antivirusbedrijf Kaspersky weten dat het honderden aanvallen had waargenomen waarbij de exploit voor de Windows-kwetsbaarheid werd gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.