این بدافزار جدید قادر است تمام هشدارهای امنیتی مایکروسافت را دور بزند

محققان اخیراً یک آسیب‌پذیری روز صفر را کشف کرده‌اند که به عوامل تهدید اجازه می‌دهد بدافزار را اجرا کنند () در نقاط پایانی ویندوز هدف () بدون اینکه دستگاه های قربانی هیچ نوع آلارمی را به صدا درآورند.

این آسیب‌پذیری، که طبق گزارش‌ها هنوز اصلاح نشده است، به عوامل تهدید اجازه می‌دهد تا Mark of the Web را که یک ویژگی ویندوز است که فایل‌های دانلود شده از مکان‌های اینترنتی نامعتبر را برچسب‌گذاری می‌کند، دور بزنند.

بدافزاری که توزیع می‌شود Qbot (AKA Quakbot)، یک تروجان بانکی قدیمی و معروف است، اما هنوز هم تهدیدی بزرگ برای قربانیان است.

اجرای فایل های ISO

توزیع با یک ایمیل فیشینگ شروع می شود که حاوی پیوندی به یک آرشیو ZIP محافظت شده با رمز عبور است. این به نوبه خود، یک فایل تصویر دیسک، یک فایل .IMG یا .ISO را حمل می کند که اگر نصب شود، یک فایل جاوا اسکریپت مستقل با امضاهای ناقص، یک فایل متنی و یک پوشه با یک فایل .DLL ظاهر می شود. فایل جاوا اسکریپت دارای یک اسکریپت VB است که محتویات فایل متنی را می‌خواند، که اجرای فایل .DLL را آغاز می‌کند.

از آنجایی که ویندوز تصاویر ISO را با پرچم‌های Mark of the Web به درستی برچسب‌گذاری نمی‌کرد، آنها اجازه داشتند بدون هیچ هشداری راه‌اندازی شوند. در واقع، در دستگاه‌هایی که ویندوز 10 یا جدیدتر دارند، با دوبار کلیک کردن روی فایل تصویر دیسک، فایل به‌طور خودکار به‌عنوان یک حرف درایو جدید نصب می‌شود.

این اولین باری نیست که هکرها از آسیب‌پذیری‌های مربوط به ویژگی Mark of the Web سوء استفاده می‌کنند. اخیراً، عوامل تهدید مشاهده شده‌اند که روش مشابهی را برای توزیع باج‌افزار Magniber به کار می‌گیرند. Bleeping Computer می گوید، ما را به یاد گزارش اخیر HP می اندازد که این کمپین را کشف کرده است.

این نشریه دریافت که در واقع از همان کلید بدشکل هم در این و هم در کمپین Magniber استفاده شده است.

ظاهراً مایکروسافت حداقل از اکتبر 2022 به خوبی از این نقص آگاه بوده است، اما هنوز وصله‌ای را منتشر نکرده است، اما با توجه به اینکه اکنون مشاهده شده است که در طبیعت مورد استفاده قرار می‌گیرد، می‌توان فرض کرد که ما شاهد یک اصلاح خواهیم بود. بخشی از آپدیت آتی پچ سه شنبه دسامبر.

از طریق: BleepingComputer ()