- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Когда файлы загружаются из ненадежного источника – из Интернета или из вложения электронной почты, Windows добавляет к файлу специальный атрибут под названием Mark of the Web (MoTW). Когда пользователь пытается открыть файл с атрибутом MoTW, Windows отображает предупреждение системы безопасности:
В ходе новой фишинговой кампании QBot, хакеры используют 0-day уязвимость Mark of the Web, распространяя JS-файлы, подписанные искаженными подписями. Кампания начинается с электронного письма, которое содержит ссылку на документ и пароль к файлу.
При нажатии на ссылку загружается запароленный ZIP-архив, содержащий еще один ZIP-файл, хранящий IMG-файл, который Windows автоматически монтирует как новый диск. IMG-файл содержит файлы.
JavaScript-файл содержит VBScript-сценарий, который считывает файл «data.txt и добавляет определенный код для загрузки DLL-файла «port/resemblance.tmp».
Так как JS-файл подписан с использованием искаженного ключа, который использовался в кампаниях Magniber для использования 0-day уязвимости Windows, JS-скрипт загружает QBot без отображения предупреждений MoTW. Кроме того, DLL вредоносного ПО QBot загружается в легитимные процессы Windows, чтобы избежать обнаружения, такие как «wermgr.exe» или «AtBroker.exe».
Microsoft знала об этой уязвимости с октября. Сейчас, когда ее используют другие вредоносные кампании, эксперт надеется, что ошибка будет исправлена в рамках обновлений безопасности в декабре 2022 года.
После загрузки QBot (Qakbot) в фоновом режиме похищает электронные письма для использования в других фишинговых атаках или для установки дополнительных полезных нагрузок, таких как Brute Ratel , Cobalt Strike и других вредоносных программ.