Изследователите наскоро откриха уязвимост от типа „нулев ден“, която позволява на участниците в заплахи да стартират зловреден софтуер на Windows компютри. Дупката все още не е запушена и се експлоатира в реалността.
Хакерите използват пропуск в Mark of the Web – функция на Windows, която маркира файлове, изтеглени от ненадеждни интернет места. Разпространяваният зловреден софтуер е Qbot (известен още като Quakbot). Добре познат банков троянски кон, който вече има нови инструменти в арсенала си.
Разпространението започва с фишинг имейл, който съдържа връзка към защитен с парола ZIP архив.
Той от своя страна носи файл с изображение на диск – или .IMG, или .ISO файл. Ако бъде монтиран, разполага самостоятелен JavaScript файл с манипулирани подписи, текстов файл и папка с .DLL файл. JavaScript файлът носи VB скрипт, който чете съдържанието на текстовия файл, което предизвиква изпълнението на .DLL файла.
Тъй като Windows не маркира правилно ISO изображенията с флагове Mark of the Web, те могат да се стартират без никакви предупреждения. Всъщност на устройствата с Windows 10 или по-нови версии просто двойното щракване върху файл с дисково изображение автоматично монтира файла като нова буква на диска.
Това не е първият случай, в който хакери злоупотребяват с уязвимостите, свързани с функцията Mark of the Web.
Неотдавна бяха забелязани участници в заплахите, които използваха подобен метод за разпространение на рансъмуера Magniber. Всъщност един и същ зле форматиран ключ е бил използван както в тази, така и в кампанията Magniber, установи публикацията.
Microsoft очевидно е наясно с дефекта поне от октомври 2022 г., но все още не е пуснала кръпка. Като се има предвид, че сега е наблюдавано използването на уязвимостта в дивата природа, може да се предположи, че ще видим поправка като част от предстоящата актуализация Patch Tuesday за декември.