Un investigador de seguridad descubrió nuevos ataques de phishing que usan un malware para explotar vulnerabilidad de día cero de Windows para instalar malware «QBot» en archivos distribuidos por correo electrónico sin mostrar la marca de seguridad Mark of the Web (MoTW) que aparece cuando se descargan archivos que no son de confianza.
Windows agrega una propiedad especial llamada Mark of the Web a los archivos descargados de forma remota, como documentos o archivos adjuntos de correo electrónico, descargados de Internet, es decir, archivos de ubicaciones que no son de confianza.
De esta forma, cuando los usuarios intenten abrir un archivo MoTW, Windows emitirá una advertencia de seguridad preguntándoles si realmente quieren abrir el archivo e informándoles que es un «software» que puede ocasionar daños en su dispositivo.
Sin embargo, los atacantes están utilizando un nuevo exploit de día cero de Windows descubierto en octubre por Will Dormant, analista de ANALYGENCE, que funciona abriendo directamente archivos infectados con el malware y permitiendo que el programa se ejecute sin mostrar estas advertencias de seguridad a las víctimas.
Como explica el investigador de seguridad ProxyLif, el ataque de phishing «QBot» comienza con un correo electrónico que contiene un enlace al documento y una contraseña para abrir el archivo del documento. El enlace contiene un archivo ZIP protegido con contraseña que contiene otro archivo ZIP y un archivo IMG. Según ProxyLife, el archivo IMG contiene un archivo .js, un archivo de texto (data.txt) y otra carpeta que contiene un archivo DLL renombrado como un archivo .tmp («similitud.tmp«) éste último es quien instala el malware.
Debido a que el archivo .js se origina en la web, Windows debería mostrar una advertencia de seguridad web, pero el exploit de día cero de Windows se invoca al firmar con una clave mal formada, lo que permite que la secuencia de comandos JS se ejecute y cargue el software QBot malicioso.
Una vez cargado, el malware se inyecta en procesos legítimos de Windows para evitar la detección, procesos como ermgr.exe ó AtBroker.exe. Ahora, Microsoft es consciente de la vulnerabilidad y se espera que la solucione en los paquetes de la actualización de seguridad de diciembre de 2022.
El malware QBot es un tipo de malware de Windows que se desarrolló originalmente como un troyano bancario, pero desde entonces se ha convertido en un lanzador de malware. También se suele ejecutar discretamente en segundo plano para robar correos electrónicos para usarlos en otros ataques de phishing mientras instala otro malware que puede robar datos o desencadenar ataques de ransomware.
Para mas información
- https://techydog.com/phishing-attack-exploits-microsofts-zero-day-vulnerability-to-steal-windows-security-alerts-microsoft-nasdaqmsft-techy-dog/
- https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/
- https://www.bobfm.co.uk/new-malware-exploits-a-zero-day-flaw-in-the-windows-operating-system/
- https://researchsnipers.com/hackers-use-zero-day-to-sneak-through-windows-security/