Новости Хакеры используют Знак Интернета для доставки вредоносного ПО

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

Злоумышленники обходят функцию защиты Windows и загружают QBot и Cobalt Strike.​


v4qfyx3s36utp6598gcgfzoadvyn7q3m.jpg


Исследователь кибербезопасности ProxyLife Для просмотра ссылки Войди или Зарегистрируйся , что в новых фишинговых атаках используется уязвимость нулевого дня Windows, доставляющая Для просмотра ссылки Войди или Зарегистрируйся в обход системы защиты Для просмотра ссылки Войди или Зарегистрируйся .

Когда файлы загружаются из ненадежного источника – из Интернета или из вложения электронной почты, Windows добавляет к файлу специальный атрибут под названием Mark of the Web ( Для просмотра ссылки Войди или Зарегистрируйся ). Когда пользователь пытается открыть файл с атрибутом MoTW, Windows отображает предупреждение системы безопасности:


content-img(780).png

Предупреждение

Mark

of

the

Web

В ходе новой фишинговой кампании QBot, хакеры используют 0-day уязвимость Mark of the Web, распространяя JS-файлы, подписанные искаженными подписями. Кампания начинается с электронного письма, которое содержит ссылку на документ и пароль к файлу.


content-img(781).png



Фишинговое письмо со ссылкой на скачивание вредоносного архива

При нажатии на ссылку загружается запароленный ZIP-архив, содержащий еще один ZIP-файл, хранящий IMG-файл, который Windows автоматически монтирует как новый диск. IMG-файл содержит следующие файлы:


content-img(782).png



Смонтированный IMG-файл

JavaScript-файл содержит VBScript-сценарий, который считывает файл «data.txt и добавляет определенный код для загрузки DLL-файла «port/resemblance.tmp».


content-img(783).png



JS-файл с искаженной подписью для использования уязвимости

Так как JS-файл подписан с использованием искаженного ключа, который использовался в кампаниях Для просмотра ссылки Войди или Зарегистрируйся для использования 0-day уязвимости Windows, JS-скрипт загружает QBot без отображения предупреждений MoTW. Кроме того, DLL вредоносного ПО QBot загружается в легитимные процессы Windows, чтобы избежать обнаружения, такие как «wermgr.exe» или «AtBroker.exe».

Microsoft знала об этой уязвимости с октября. Сейчас, когда ее используют другие вредоносные кампании, эксперт надеется, что ошибка будет исправлена в рамках обновлений безопасности в декабре 2022 года.

После загрузки QBot (Qakbot) в фоновом режиме похищает электронные письма для использования в других фишинговых атаках или для установки дополнительных полезных нагрузок, таких как Для просмотра ссылки Войди или Зарегистрируйся , Cobalt Strike и других вредоносных программ.
 
Источник новости
https://www.securitylab.ru/news/534876.php

Похожие темы