Forskare upptäckte nyligen en nolldagarssårbarhet som gör att hackare kan köra skadlig programvara (öppnas i en ny flik) på riktade Windows-slutpunkter (öppnas i en ny flik) utan att utlösa några larm på offrets enheter.
Sårbarheten, som ännu inte har åtgärdats, tillåter hotaktörer att kringgå Mark of the Web, en Windows-funktion som taggar filer som laddats ner från opålitliga internetplatser.
Den distribuerade skadliga programvaran är Qbot (även känd som Quakbot), en gammal och välkänd banktrojan, men fortfarande ett stort hot mot offren.
Kör ISO-filer
Distributionen börjar med ett nätfiskemail, som innehåller en länk till en lösenordsskyddad ZIP-fil. Denna innehåller i sin tur en diskavbildningsfil, antingen en .IMG- eller .ISO-fil som, om den är monterad, visar en separat JavaScript-fil med felaktiga signaturer, en textfil och en mapp med en .dll. JavaScript-filen innehåller ett VB-skript som läser innehållet i textfilen, vilket utlöser exekveringen av .DLL-filen.
Eftersom Windows inte korrekt taggade ISO-bilderna med Mark of the Web-flaggor, fick de starta utan förvarning. Faktum är att på enheter som kör Windows 10 eller senare, helt enkelt dubbelklicka på en skivavbildsfil monterar filen automatiskt som en ny enhetsbeteckning.
Det är inte första gången som hackare utnyttjar sårbarheter kring Mark of the Web-funktionen. På senare tid har hotaktörer observerats implementera en liknande metod för att distribuera Magniber ransomware, säger BleepingComputer, som påminner oss om en färsk rapport från HP som avslöjade kampanjen.
Faktum är att samma felaktiga nyckel användes i både den här kampanjen och Magniber-kampanjen, avslöjade inlägget.
Microsoft har tydligen varit medveten om felet sedan åtminstone oktober 2022, men har ännu inte släppt en patch, men eftersom den nu har observerats användas i det vilda, är det säkert att anta att vi kommer att se en patch. som en del av den kommande December Patch Tuesday-uppdateringen.
Via: BleepingComputer (öppnas i en ny flik)