Araştırmacılar yakın zamanda, tehdit aktörlerinin kötü amaçlı yazılım çalıştırmasına izin veren bir sıfır gün güvenlik açığı keşfettiler. (yeni sekmede açılır) hedef Windows uç noktalarında (yeni sekmede açılır) kurban cihazlar herhangi bir alarm vermeden.
Henüz yamalanmadığı bildirilen güvenlik açığı, tehdit aktörlerinin güvenilmeyen internet konumlarından indirilen dosyaları etiketleyen bir Windows özelliği olan Mark of the Web’i atlamasına olanak tanıyor.
Dağıtılan kötü amaçlı yazılım, eski ve iyi bilinen bir bankacılık truva atı olan ancak kurbanlar için hâlâ büyük bir tehdit oluşturan Qbot’tur (AKA Quakbot).
ISO dosyalarını çalıştırma
Dağıtım, parola korumalı bir ZIP arşivine bağlantı içeren bir kimlik avı e-postasıyla başlar. Bu da, bir .IMG veya .ISO dosyası olan bir disk görüntü dosyası taşır; bu dosya takılırsa hatalı biçimlendirilmiş imzalara sahip bağımsız bir JavaScript dosyası, bir metin dosyası ve .DLL dosyası içeren bir klasör getirir. JavaScript dosyası, metin dosyasının içeriğini okuyan ve .DLL dosyasının yürütülmesini tetikleyen bir VB komut dosyası taşır.
Windows, ISO görüntülerini Web İşareti bayraklarıyla düzgün bir şekilde etiketlemediğinden, herhangi bir uyarı olmadan başlatılmasına izin verildi. Aslında, Windows 10 veya daha yenisini çalıştıran cihazlarda, bir disk görüntü dosyasına çift tıklamak, dosyayı otomatik olarak yeni bir sürücü harfi olarak bağlar.
Bu, bilgisayar korsanlarının Web’in İşareti özelliğini çevreleyen güvenlik açıklarını ilk kez kötüye kullanışı değil. Son zamanlarda, tehdit aktörlerinin Magniber fidye yazılımını dağıtmak için benzer bir yöntem kullandığı gözlemlendi. BleepingBilgisayar diyor ve bize kampanyayı keşfeden yakın tarihli bir HP raporunu hatırlatıyor.
Aslında, yayının bulduğuna göre, hem bu hem de Magniber kampanyasında aynı hatalı biçimlendirilmiş anahtar kullanıldı.
Görünüşe göre Microsoft, en azından Ekim 2022’den beri kusurun farkındaydı, ancak henüz bir yama yayınlamadı, ancak şu anda vahşi doğada kullanıldığı gözlemlendiği için, bir düzeltme göreceğimizi varsaymak güvenlidir. yaklaşan Aralık Yaması Salı güncellemesinin bir parçası.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)