<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof">
Hello,
<div><br>
</div>
<div>I hope everyone is doing well!</div>
<div><br>
</div>
<div>Below is the entry for today.</div>
<div><br>
</div>
<div>07/01/2022 - Diary entry #543:</div>
<div><br>
</div>
<blockquote style="margin-top:0;margin-bottom:0">
<div>XFiles is an information stealer written in C# and advertised on hacking forums that use Telegram as its Command & Control. Recently, the XFiles authors added a new delivery module that exploits the CVE-2022-30190 vulnerability (also known as Follina)
 to start the infection process.
<div><br>
</div>
<div>Follina (covered in our Daily Diary #539) is exploited by XFiles via malicious Office documents disseminated via spam. Once executed, it delivers an OLE object that points to an external resource, that executes a JavaScript code. Next, it results in a
 base64 encoded string containing PowerShell commands to create persistence in the Windows startup directory and to execute the malware. Once the infection process is complete, XFiles starts its data-stealing operations.</div>
<div><br>
</div>
XFiles is one of the many malware that delivers malicious code through Office documents. We recommend organizations to always keep their office solutions up-to-date (preferably using O365 online to manipulate documents) and to train employees to not open suspicious
 documents disseminated through SPAM.<br>
</div>
</blockquote>
<div><br>
</div>
Kind Regards,</div>
<br>
</body>
</html>