Forscher haben kürzlich eine Zero-Day-Schwachstelle entdeckt, die es Hackern ermöglicht, Malware (wird in einem neuen Tab geöffnet) auf gezielten Windows-Endpunkten auszuführen (wird in einem neuen Tab geöffnet), ohne auf den Opfergeräten einen Alarm auszulösen .
Die Schwachstelle, die noch nicht gepatcht wurde, ermöglicht es Angreifern, Mark of the Web zu umgehen, eine Windows-Funktion, die Dateien markiert, die von nicht vertrauenswürdigen Internetspeicherorten heruntergeladen wurden.
Bei der verbreiteten Malware handelt es sich um Qbot (auch bekannt als Quakbot), ein alter und bekannter Banking-Trojaner, der aber immer noch eine große Bedrohung für die Opfer darstellt.
Ausführen von ISO-Dateien
Die Verbreitung beginnt mit einer Phishing-E-Mail, die einen Link zu einer passwortgeschützten ZIP-Datei enthält. Diese wiederum enthält eine Disk-Image-Datei, entweder eine .IMG- oder eine .ISO-Datei, die, wenn sie gemountet wird, eine separate JavaScript-Datei mit fehlerhaften Signaturen, eine Textdatei und einen Ordner mit einer .dll anzeigt. Die JavaScript-Datei enthält ein VB-Skript, das den Inhalt der Textdatei liest, wodurch die Ausführung der .DLL-Datei ausgelöst wird.
Da Windows die ISO-Images nicht korrekt mit den Mark of the Web-Flags markierte, durften sie ohne Vorwarnung gestartet werden. Tatsächlich wird auf Geräten mit Windows 10 oder höher durch einfaches Doppelklicken auf eine Disk-Image-Datei die Datei automatisch als neuer Laufwerksbuchstabe bereitgestellt.
Dies ist nicht das erste Mal, dass Hacker Sicherheitslücken rund um die Mark of the Web-Funktion ausgenutzt haben. Kürzlich wurde beobachtet, dass Bedrohungsakteure eine ähnliche Methode zur Verbreitung von Magniber-Ransomware implementieren, sagt BleepingComputer und erinnert uns an einen kürzlich erschienenen Bericht von HP, der die Kampagne aufdeckte.
Tatsächlich wurde sowohl in dieser Kampagne als auch in der Magniber-Kampagne derselbe fehlerhafte Schlüssel verwendet, wie der Beitrag enthüllte.
Microsoft ist sich des Fehlers anscheinend seit mindestens Oktober 2022 bewusst, hat aber noch keinen Patch veröffentlicht, aber da jetzt beobachtet wurde, dass er in freier Wildbahn verwendet wird, kann man davon ausgehen, dass wir einen Patch sehen werden. als Teil des kommenden Dezember-Patchday-Updates.
Über: BleepingComputer (Öffnet in einem neuen Tab)