Новости | ITSec.Ru

Злоумышленники обходят функцию защиты Windows и загружают QBot и Cobalt Strike

Written by Komolov Rostislav | 22/11/22

Исследователь кибербезопасности ProxyLife обнаружил , что в новых фишинговых атаках используется уязвимость нулевого дня Windows, доставляющая вредоносное ПО Qbot в обход системы защиты Mark of the Web.

Когда файлы загружаются из ненадежного источника – из Интернета или из вложения электронной почты, Windows добавляет к файлу специальный атрибут под названием Mark of the Web (MoTW). Когда пользователь пытается открыть файл с атрибутом MoTW, Windows отображает предупреждение системы безопасности:

В ходе новой фишинговой кампании QBot, хакеры используют 0-day уязвимость Mark of the Web, распространяя JS-файлы, подписанные искаженными подписями. Кампания начинается с электронного письма, которое содержит ссылку на документ и пароль к файлу.

При нажатии на ссылку загружается запароленный ZIP-архив, содержащий еще один ZIP-файл, хранящий IMG-файл, который Windows автоматически монтирует как новый диск. IMG-файл содержит следующие файлы:

Так как JS-файл подписан с использованием искаженного ключа, который использовался в кампаниях Magniber для использования 0-day уязвимости Windows, JS-скрипт загружает QBot без отображения предупреждений MoTW. Кроме того, DLL вредоносного ПО QBot загружается в легитимные процессы Windows, чтобы избежать обнаружения, такие как «wermgr.exe» или «AtBroker.exe».

Microsoft знала об этой уязвимости с октября. Сейчас, когда ее используют другие вредоносные кампании, эксперт надеется, что ошибка будет исправлена ​​​​в рамках обновлений безопасности в декабре 2022 года.

После загрузки QBot (Qakbot) в фоновом режиме похищает электронные письма для использования в других фишинговых атаках или для установки дополнительных полезных нагрузок, таких как Brute Ratel, Cobalt Strike и других вредоносных программ.