ΑρχικήsecurityWindows zero day εκμεταλλεύεται για να ρίξει λογισμικό Qbot

Windows zero day εκμεταλλεύεται για να ρίξει λογισμικό Qbot

Νέες επιθέσεις ηλεκτρονικού “ψαρέματος” εκμεταλλεύονται μια ευπάθεια zero day των Windows για να ρίξουν το κακόβουλο λογισμικό Qbot, το οποίο δεν δίνει στους χρήστες προειδοποιήσεις ασφαλείας Mark of the Web.

Δείτε επίσης: Η Microsoft διορθώνει zero day που εισάγει malware μέσω αρχείων ISO

Windows

Τα Windows προσθέτουν αυτόματα ένα ειδικό χαρακτηριστικό που ονομάζεται Mark of the Web σε κάθε αρχείο που κατεβαίνει από μια μη αξιόπιστη απομακρυσμένη τοποθεσία, όπως το Διαδίκτυο ή μέσω συνημμένου ηλεκτρονικού ταχυδρομείου. Το MOTW δεν καθιστά ένα αρχείο ασφαλές. Απλώς σας ενημερώνει να μην εμπιστεύεστε απόλυτα το αρχείο. Το αρχείο μπορεί να εξακολουθεί να είναι επιβλαβές. Εάν δεν είστε σίγουροι, θα πρέπει να το σαρώσετε με λογισμικό προστασίας από ιούς πριν το ανοίξετε.

Το Mark of the Web (MoTW) είναι μια ροή δεδομένων που περιέχει επίσης πληροφορίες σχετικά με ένα αρχείο, όπως από πού προήλθε, ο παραπομπός του και η διεύθυνση URL λήψης του.

Όταν ένας χρήστης προσπαθεί να ανοίξει ένα αρχείο που έχει χαρακτηριστεί ως MoTW, τα Windows θα εμφανίσουν μια προειδοποίηση ασφαλείας που θα τον ρωτήσει αν είναι σίγουρος ότι θέλει να ανοίξει το αρχείο.

Η λήψη αρχείων από το διαδίκτυο μπορεί να είναι χρήσιμη, αλλά αυτός ο τύπος αρχείου μπορεί επίσης να προκαλέσει βλάβη στον υπολογιστή σας. Μην ανοίξετε το λογισμικό εάν δεν εμπιστεύεστε την πηγή.

Η ομάδα πληροφοριών απειλών της HP ανακάλυψε τον περασμένο μήνα ότι ορισμένες επιθέσεις phishing παρέδιδαν το ransomware Magniber χρησιμοποιώντας αρχεία JavaScript.

Αυτά τα αρχεία JavaScript χρησιμοποιούν την επέκταση ‘.JS’ και εκτελούνται μέσω του Windows Script Host (wscript.exe), σε αντίθεση με τη χρήση τους σε ιστότοπους.

Δείτε ακόμα: Νέο σφάλμα zero day στο macOS επιτρέπει απομακρυσμένες επιθέσεις

Μετά την ανάλυση των αρχείων, ο ανώτερος αναλυτής ευπαθειών της ANALYGENCE, Will Dormann, ανακάλυψε ότι οι κακόβουλοι παράγοντες χρησιμοποιούσαν μια νέα ευπάθεια zero day των Windows. Η συγκεκριμένη εκμετάλλευση εμπόδιζε την εμφάνιση των προειδοποιήσεων ασφαλείας Mark of the Web.

zero day Qbot

Για να εκμεταλλευτεί κάποιος αυτό το σφάλμα, χρησιμοποιεί ένα αρχείο JS που έχει υπογραφεί με ένα ενσωματωμένο μπλοκ υπογραφής με κωδικοποίηση base64. Η Microsoft έχει κυκλοφορήσει ένα άρθρο υποστήριξης, που περιγράφει πώς γίνεται αυτό.

Ωστόσο, εάν ανοίξει ένα κακόβουλο αρχείο με μια από αυτές τις ψεύτικες υπογραφές, δεν θα επισημανθεί από το Microsoft SmartScreen και δεν θα εμφανιστεί η προειδοποίηση ασφαλείας MoTW. Αντ’ αυτού, τα Windows επιτρέπουν αυτόματα την εκτέλεση του προγράμματος.

Το QBot, γνωστό και ως Qakbot, είναι ένας τύπος κακόβουλου λογισμικού για τα Windows που δημιουργήθηκε αρχικά για να λειτουργεί ως τραπεζικό trojan. Ωστόσο, έκτοτε έχει εξελιχθεί σε ένα dropper κακόβουλου λογισμικού.

Το κακόβουλο λογισμικό εκτελείται κρυφά στο παρασκήνιο και συλλέγει μηνύματα ηλεκτρονικού ταχυδρομείου για να τα χρησιμοποιήσει για περαιτέρω επιθέσεις phishing ή για να αναπτύξει άλλα ωφέλιμα φορτία, όπως τα Brute Ratel, Cobalt Strike και πρόσθετο κακόβουλο λογισμικό.

Δείτε επίσης: Solaris zero day: Hacking group επιτίθεται σε εταιρικά δίκτυα

Εάν ένας επιτιθέμενος εγκαταστήσει τις εργαλειοθήκες Brute Ratel και Cobalt Strike μετά την εκμετάλλευση, αυτό συνήθως οδηγεί σε πιο αποδιοργανωτικές επιθέσεις κατά των θυμάτων, όπως η κλοπή δεδομένων ή η εξαπόλυση επιθέσεων ransomware.

Στο παρελθόν, επιχειρήσεις ransomware, όπως οι Egregor και Prolock, συνεργάστηκαν με διανομείς της QBot για να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα. Πρόσφατα, οι επιθέσεις ransomware Black Basta παρατηρούνται όλο και περισσότερο σε δίκτυα που έχουν ήδη πέσει θύματα μολύνσεων από QBot.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS