Эта новая вредоносная программа способна обойти все предупреждения безопасности Microsoft.

Эта новая вредоносная программа способна обойти все предупреждения безопасности Microsoft.

22 ноября 2022 г.

Недавно исследователи обнаружили уязвимость нулевого дня, которая позволяет злоумышленникам запускать вредоносное ПО на целевых конечных точках Windows без каких-либо сигналов тревоги со стороны устройств-жертв .

Уязвимость, которая, как сообщается, еще не исправлена, позволяет злоумышленникам обходить Mark of the Web, функцию Windows, которая помечает файлы, загруженные из ненадежных источников в Интернете.

Распространяемое вредоносное ПО — это Qbot (он же Quakbot), старый и хорошо известный банковский троян, который до сих пор представляет серьезную угрозу для жертв.

Запуск файлов ISO

Раздача начинается с фишингового письма, которое содержит ссылку на защищенный паролем ZIP-архив. Это, в свою очередь, содержит файл образа диска, либо файл .IMG, либо файл .ISO, который, если он смонтирован, вызывает автономный файл JavaScript с искаженными подписями, текстовый файл и папку с файлом .DLL. Файл JavaScript содержит сценарий VB, который считывает содержимое текстового файла, что запускает выполнение файла .DLL.

Поскольку Windows не помечала ISO-образы должным образом флагами Mark of the Web, им разрешалось запускаться без каких-либо предупреждений. Фактически, на устройствах под управлением Windows 10 или более поздней версии простой двойной щелчок по файлу образа диска автоматически монтирует файл как новую букву диска.

Это не первый случай, когда хакеры злоупотребляют уязвимостями, связанными с функцией Mark of the Web. Недавно злоумышленники использовали аналогичный метод для распространения программы-вымогателя Magniber, сообщает BleepingComputer, напоминая нам о недавнем отчете HP, в котором была обнаружена кампания.

Подробнее