Novi phishing napadi koriste Windows zero-day ranjivost za ispuštanje zlonamjernog softvera Qbot bez prikazivanja sigurnosnih upozorenja.

Kada se datoteke preuzimaju s nepouzdane udaljene lokacije, kao što je Internet ili privitak e-pošte, Windows dodaje poseban atribut datoteci pod nazivom Mark of the Web.

Mark of the Web (MoTW) alternativni je tok podataka koji sadrži informacije o datoteci, kao što je sigurnosna zona URL-a iz koje datoteka potiče, njezina preporuka i URL za preuzimanje.

Kada korisnik pokuša otvoriti datoteku s MoTW atributom, Windows će prikazati sigurnosno upozorenje s pitanjem je li siguran da želi otvoriti datoteku.

“Iako datoteke s interneta mogu biti korisne, ova vrsta datoteke potencijalno može naštetiti vašem računalu. Ako ne vjerujete izvoru, ne otvarajte ovaj softver”, stoji u upozorenju iz Windowsa.

Prošlog mjeseca HP-ov tim za obavještavanje o prijetnjama izvijestio je da je phishing napad distribuirao ransomware Magniber koristeći JavaScript datoteke.

Ove JavaScript datoteke nisu iste kao one koje se koriste na web stranicama, već su samostalne datoteke s ekstenzijom “.JS” koje se izvršavaju pomoću Windows Script Host (wscript.exe).

Nakon analize datoteka, Will Dormann, viši analitičar ranjivosti u ANALYGENCE, otkrio je da akteri prijetnje koriste novu zero-day ranjivost sistema Windows koja je spriječila prikazivanje sigurnosnih upozorenja Mark of the Web.

Da bi se iskoristila ova ranjivost, JS datoteka (ili druge vrste datoteka) može se potpisati pomoću ugrađenog base64 kodiranog bloka potpisa, kao što je opisano u ovom članku Microsoftove podrške.

Međutim, kada se otvori zlonamjerna datoteka s jednim od ovih neispravnih potpisa, umjesto da je označi Microsoft SmartScreen i prikaže MoTW sigurnosno upozorenje, Windows automatski dopušta pokretanje programa.

QBot malware kampanja koristi Windows zero-day

Nedavne QBot phishing kampanje zlonamjernog softvera distribuirale su ZIP arhive zaštićene lozinkom koje sadrže ISO slike. Ove ISO slike sadrže Windows prečicu i DLL-ove za instaliranje zlonamjernog softvera.

ISO slike korištene su za distribuciju zlonamjernog softvera jer Windows nije pravilno širio Web oznaku na datoteke unutar njih, dopuštajući sadržanim datotekama da zaobiđu sigurnosna upozorenja Windowsa.

Kao dio zakrpe za Microsoft u novembru 2022., objavljena su sigurnosna ažuriranja koja su popravila ovu pogrešku, uzrokujući širenje MoTW oznake na sve datoteke unutar otvorene ISO slike, popravljajući ovo sigurnosno zaobilaženje.

U novoj QBot phishing kampanji koju je otkrio sigurnosni istraživač ProxyLife, akteri prijetnje prebacili su se na ranjivost Windows Mark of the Web zero-day distribuirajući JS datoteke potpisane neispravnim potpisima.

Ova nova phishing kampanja počinje e-poštom koja uključuje link na navodni dokument i lozinku za datoteku.

Kada se klikne link, preuzima se ZIP arhiva zaštićena lozinkom koja sadrži drugu zip datoteku, nakon koje slijedi IMG datoteka.

U sistemu Windows 10 i novijim, kada dvaput kliknete na datoteku slike diska, kao što je IMG ili ISO, operativni sistem će je automatski montirati kao new drive letter.

Ova IMG datoteka sadrži .js datoteku (‘WW.js’), tekstualnu datoteku (‘data.txt’) i drugu mapu koja sadrži DLL datoteku preimenovanu u .tmp datoteku (‘resemblance.tmp’) [VirusTotal ]. Treba imati na umu da će se nazivi datoteka mijenjati po kampanji, pa ih ne treba smatrati statičnima.

Zlonamjerni softver QBot

QBot, također poznat kao Qakbot, zlonamjerni je softver za Windows koji je prvobitno razvijen kao bankarski trojanac, ali je evoluirao u zlonamjerni softver.

Nakon učitavanja, zlonamjerni softver će tiho raditi u pozadini dok će krasti e-poštu za korištenje u drugim napadima krađe identiteta ili za instaliranje dodatnih korisnih sadržaja kao što su Brute Ratel, Cobalt Strike i drugw zlonamjernw softvere.

Instaliranje kompleta alata Brute Ratel i Cobalt Strike nakon eksploatacije obično dovodi do razornijih napada, poput krađe podataka i napada ransomwarea.

U prošlosti su Egregor i Prolock ransomware operacije surađivale s QBot distributerima kako bi dobile pristup korporativnim mrežama. U novije vrijeme, Black Basta ransomware napadi su viđeni na mrežama nakon QBot infekcije.

IZVOR: BleepingComputer

wpChatIcon
wpChatIcon