محققان اخیراً یک آسیبپذیری روز صفر را کشف کردهاند که به عوامل تهدید اجازه میدهد بدافزار را اجرا کنند () در نقاط پایانی ویندوز هدف () بدون اینکه دستگاه های قربانی هیچ نوع آلارمی را به صدا درآورند.
این آسیبپذیری، که طبق گزارشها هنوز اصلاح نشده است، به عوامل تهدید اجازه میدهد تا Mark of the Web را که یک ویژگی ویندوز است که فایلهای دانلود شده از مکانهای اینترنتی نامعتبر را برچسبگذاری میکند، دور بزنند.
بدافزاری که توزیع میشود Qbot (AKA Quakbot)، یک تروجان بانکی قدیمی و معروف است، اما هنوز هم تهدیدی بزرگ برای قربانیان است.
اجرای فایل های ISO
توزیع با یک ایمیل فیشینگ شروع می شود که حاوی پیوندی به یک آرشیو ZIP محافظت شده با رمز عبور است. این به نوبه خود، یک فایل تصویر دیسک، یک فایل .IMG یا .ISO را حمل می کند که اگر نصب شود، یک فایل جاوا اسکریپت مستقل با امضاهای ناقص، یک فایل متنی و یک پوشه با یک فایل .DLL ظاهر می شود. فایل جاوا اسکریپت دارای یک اسکریپت VB است که محتویات فایل متنی را میخواند، که اجرای فایل .DLL را آغاز میکند.
از آنجایی که ویندوز تصاویر ISO را با پرچمهای Mark of the Web به درستی برچسبگذاری نمیکرد، آنها اجازه داشتند بدون هیچ هشداری راهاندازی شوند. در واقع، در دستگاههایی که ویندوز 10 یا جدیدتر دارند، با دوبار کلیک کردن روی فایل تصویر دیسک، فایل بهطور خودکار بهعنوان یک حرف درایو جدید نصب میشود.
این اولین باری نیست که هکرها از آسیبپذیریهای مربوط به ویژگی Mark of the Web سوء استفاده میکنند. اخیراً، عوامل تهدید مشاهده شدهاند که روش مشابهی را برای توزیع باجافزار Magniber به کار میگیرند. Bleeping Computer می گوید، ما را به یاد گزارش اخیر HP می اندازد که این کمپین را کشف کرده است.
این نشریه دریافت که در واقع از همان کلید بدشکل هم در این و هم در کمپین Magniber استفاده شده است.
ظاهراً مایکروسافت حداقل از اکتبر 2022 به خوبی از این نقص آگاه بوده است، اما هنوز وصلهای را منتشر نکرده است، اما با توجه به اینکه اکنون مشاهده شده است که در طبیعت مورد استفاده قرار میگیرد، میتوان فرض کرد که ما شاهد یک اصلاح خواهیم بود. بخشی از آپدیت آتی پچ سه شنبه دسامبر.
از طریق: BleepingComputer ()
آخرین دیدگاهها