Хакеры используют Знак Интернета для доставки вредоносного ПО

Хакеры используют Знак Интернета для доставки вредоносного ПО

Злоумышленники обходят функцию защиты Windows и загружают QBot и Cobalt Strike.

Исследователь кибербезопасности ProxyLife обнаружил , что в новых фишинговых атаках используется уязвимость нулевого дня Windows, доставляющая вредоносное ПО Qbot в обход системы защиты Mark of the Web .

Когда файлы загружаются из ненадежного источника – из Интернета или из вложения электронной почты, Windows добавляет к файлу специальный атрибут под названием Mark of the Web (MoTW). Когда пользователь пытается открыть файл с атрибутом MoTW, Windows отображает предупреждение системы безопасности:


Предупреждение Mark of the Web

В ходе новой фишинговой кампании QBot, хакеры используют 0-day уязвимость Mark of the Web, распространяя JS-файлы, подписанные искаженными подписями. Кампания начинается с электронного письма, которое содержит ссылку на документ и пароль к файлу.

Фишинговое письмо со ссылкой на скачивание вредоносного архива

При нажатии на ссылку загружается запароленный ZIP-архив, содержащий еще один ZIP-файл, хранящий IMG-файл, который Windows автоматически монтирует как новый диск. IMG-файл содержит следующие файлы:

Смонтированный IMG-файл

JavaScript-файл содержит VBScript-сценарий, который считывает файл «data.txt и добавляет определенный код для загрузки DLL-файла «port/resemblance.tmp».

JS-файл с искаженной подписью для использования уязвимости

Так как JS-файл подписан с использованием искаженного ключа, который использовался в кампаниях Magniber для использования 0-day уязвимости Windows, JS-скрипт загружает QBot без отображения предупреждений MoTW. Кроме того, DLL вредоносного ПО QBot загружается в легитимные процессы Windows, чтобы избежать обнаружения, такие как «wermgr.exe» или «AtBroker.exe».

Microsoft знала об этой уязвимости с октября. Сейчас, когда ее используют другие вредоносные кампании, эксперт надеется, что ошибка будет исправлена ​​​​в рамках обновлений безопасности в декабре 2022 года.

После загрузки QBot (Qakbot) в фоновом режиме похищает электронные письма для использования в других фишинговых атаках или для установки дополнительных полезных нагрузок, таких как Brute Ratel , Cobalt Strike и других вредоносных программ.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!