Злоумышленники обходят функцию защиты Windows и загружают QBot и Cobalt Strike.
Исследователь кибербезопасности ProxyLife Для просмотра ссылки Войди
Когда файлы загружаются из ненадежного источника – из Интернета или из вложения электронной почты, Windows добавляет к файлу специальный атрибут под названием Mark of the Web ( Для просмотра ссылки Войди
Предупреждение
Mark
of
the
Web
В ходе новой фишинговой кампании QBot, хакеры используют 0-day уязвимость Mark of the Web, распространяя JS-файлы, подписанные искаженными подписями. Кампания начинается с электронного письма, которое содержит ссылку на документ и пароль к файлу.
Фишинговое письмо со ссылкой на скачивание вредоносного архива
При нажатии на ссылку загружается запароленный ZIP-архив, содержащий еще один ZIP-файл, хранящий IMG-файл, который Windows автоматически монтирует как новый диск. IMG-файл содержит следующие файлы:
Смонтированный IMG-файл
JavaScript-файл содержит VBScript-сценарий, который считывает файл «data.txt и добавляет определенный код для загрузки DLL-файла «port/resemblance.tmp».
JS-файл с искаженной подписью для использования уязвимости
Так как JS-файл подписан с использованием искаженного ключа, который использовался в кампаниях Для просмотра ссылки Войди
Microsoft знала об этой уязвимости с октября. Сейчас, когда ее используют другие вредоносные кампании, эксперт надеется, что ошибка будет исправлена в рамках обновлений безопасности в декабре 2022 года.
После загрузки QBot (Qakbot) в фоновом режиме похищает электронные письма для использования в других фишинговых атаках или для установки дополнительных полезных нагрузок, таких как Для просмотра ссылки Войди
- Источник новости
- https://www.securitylab.ru/news/534876.php