Windows Follina zero-day används nu för att infektera datorer med Qbot malware

Windows Follina zero-day används nu för att infektera datorer med Qbot malware

Follina har visat sig vara ett hot mot systemadministratörer runt om i världen när nya rapporter dyker upp om sårbarheten som används för att distribuera informationsstöldare, trojaner och ransomware.

Proofpoint cybersäkerhetsforskare upptäckte att hotaktörer kända som TA570 använde Follina-felet för att infektera slutpunkter (öppnas i en ny flik) med Qbot, medan NCC Group upptäckte att Black Basta, en välkänd grupp av ransomware, missbrukade det ytterligare.

Qbot, även känd som Qakbot, Quakbot eller Pinkslipbot, är en banktrojan och informationsstöldare som har använts i över ett decennium. Hotaktörer som försöker distribuera informationsstjälaren väljer vanligtvis en kombination av nätfiske och utnyttjande av utnyttjande, som lurar människor att besöka skadliga webbplatser som, genom olika utnyttjande, slutar med att ladda ner den trojanska hästen till enheten. .

svart basta kommer fram

Qbot kan orsaka mycket skada, spara nycklar, exfiltrera cookies, blockera processer, men fungerar också som en droppe för andra stegsvirus, skadlig programvara (öppnas i en ny flik) eller ransomware. Det här är precis den hand som Black Basta spelar.

Black Basta, en relativt ny deltagare i ransomware-utrymmet, har observerats av NCC Group som använder Qbot för att röra sig i sidled genom komprometterade nätverk och distribuera dess ransomware (öppnas i en ny flik).

Gruppen dök upp först i april i år och riktade sig direkt till American Dental Association, minns publikationen. Den använder dubbel utpressningstaktik (stöld och kryptering av känslig data) för att tvinga offren att betala lösensumman.

Follina, även spårad som CVE-2022-30190, är ​​ett fel som finns i Windows Support Diagnostic Tool. Det kan missbrukas för att fjärrexekvera kod, vilket gör att program som Office Word visar verktyget från ett specialtillverkat dokument när det öppnas.

Microsoft erkände förekomsten av felet och lovade att arbeta på en åtgärd. Tills det händer använder hotaktörer aktivt felet. Bland de bekräftade attackerna finns en mot det internationella tibetanska samfundet, utförd av en välkänd kinesisk statssponsrad hotaktör vid namn TA413.

Via: registret (öppnas i en ny flik)