Badacze niedawno odkryli lukę zero-day, która umożliwia hakerom uruchamianie złośliwego oprogramowania (otwiera się w nowej karcie) na docelowych punktach końcowych systemu Windows (otwiera się w nowej karcie) bez wyzwalania alarmów na urządzeniach ofiary.
Luka w zabezpieczeniach, która nie została jeszcze załatana, umożliwia cyberprzestępcom ominięcie Mark of the Web, funkcji systemu Windows, która oznacza pliki pobrane z niezaufanych lokalizacji internetowych.
Rozpowszechnianym szkodliwym oprogramowaniem jest Qbot (znany również jako Quakbot), stary i dobrze znany trojan bankowy, który nadal stanowi poważne zagrożenie dla ofiar.
Uruchamianie plików ISO
Dystrybucja rozpoczyna się od e-maila phishingowego, który zawiera łącze do pliku ZIP chronionego hasłem. Ten z kolei zawiera plik obrazu dysku, plik .IMG lub .ISO, który po zamontowaniu wyświetla oddzielny plik JavaScript ze zniekształconymi podpisami, plik tekstowy i folder z plikiem .dll. Plik JavaScript zawiera skrypt VB, który odczytuje zawartość pliku tekstowego, co wyzwala wykonanie pliku .DLL.
Ponieważ system Windows nie oznaczył poprawnie obrazów ISO flagami Mark of the Web, pozwolono im uruchomić się bez ostrzeżenia. W rzeczywistości na urządzeniach z systemem Windows 10 lub nowszym dwukrotne kliknięcie pliku obrazu dysku automatycznie montuje plik jako nową literę dysku.
To nie pierwszy raz, kiedy hakerzy wykorzystują luki w zabezpieczeniach funkcji Mark of the Web. Ostatnio zaobserwowano, że cyberprzestępcy wdrażają podobną metodę dystrybucji oprogramowania ransomware Magniber, mówi BleepingComputer, przypominając nam o niedawnym raporcie HP, który ujawnił kampanię.
W rzeczywistości ten sam zniekształcony klucz został użyty zarówno w tej kampanii, jak iw kampanii Magniber, jak ujawnił post.
Microsoft najwyraźniej był świadomy tej luki co najmniej od października 2022 r., ale jeszcze nie wydał łatki, ale ponieważ zaobserwowano, że jest ona używana na wolności, można bezpiecznie założyć, że zobaczymy łatkę. w ramach nadchodzącej grudniowej aktualizacji Patch Tuesday.
Przez: BleepingComputer (Otwiera się w nowej karcie)
