Эта новая вредоносная программа способна обойти все предупреждения безопасности Microsoft.
22 ноября 2022 г.Недавно исследователи обнаружили уязвимость нулевого дня, которая позволяет злоумышленникам запускать вредоносное ПО на целевых конечных точках Windows без каких-либо сигналов тревоги со стороны устройств-жертв .
Уязвимость, которая, как сообщается, еще не исправлена, позволяет злоумышленникам обходить Mark of the Web, функцию Windows, которая помечает файлы, загруженные из ненадежных источников в Интернете.
Распространяемое вредоносное ПО — это Qbot (он же Quakbot), старый и хорошо известный банковский троян, который до сих пор представляет серьезную угрозу для жертв.
Запуск файлов ISO
Раздача начинается с фишингового письма, которое содержит ссылку на защищенный паролем ZIP-архив. Это, в свою очередь, содержит файл образа диска, либо файл .IMG, либо файл .ISO, который, если он смонтирован, вызывает автономный файл JavaScript с искаженными подписями, текстовый файл и папку с файлом .DLL. Файл JavaScript содержит сценарий VB, который считывает содержимое текстового файла, что запускает выполнение файла .DLL.
Поскольку Windows не помечала ISO-образы должным образом флагами Mark of the Web, им разрешалось запускаться без каких-либо предупреждений. Фактически, на устройствах под управлением Windows 10 или более поздней версии простой двойной щелчок по файлу образа диска автоматически монтирует файл как новую букву диска.
Это не первый случай, когда хакеры злоупотребляют уязвимостями, связанными с функцией Mark of the Web. Недавно злоумышленники использовали аналогичный метод для распространения программы-вымогателя Magniber, сообщает BleepingComputer, напоминая нам о недавнем отчете HP, в котором была обнаружена кампания.
> Вредоносное ПО Qbot обнаружено внутри пакетов установщика Windows
> < strong>Нулевой день Windows Follina теперь используется для заражения ПК вредоносным ПО Qbot
> Защитите себя с помощью лучших служб защиты от программ-вымогателей< /a>
На самом деле, как в этой кампании, так и в кампании Magniber использовался один и тот же неверный ключ, как обнаружилось в публикации.
По всей видимости, Microsoft была хорошо осведомлена об этой уязвимости как минимум с октября 2022 года, но до сих пор выпустить исправление только что, но, учитывая, что сейчас наблюдается его использование в дикой природе, можно с уверенностью предположить, что мы увидим исправление как часть предстоящего декабрьского обновления вторника исправлений.
- Познакомьтесь с лучшими брандмауэрами прямо сейчас
Через: BleepingComputer
Оригинал