Los investigadores han descubierto recientemente una vulnerabilidad de día cero que permite a los actores de amenazas ejecutar malware (se abre en una pestaña nueva) en puntos finales de Windows de destino (se abre en una pestaña nueva) sin que los dispositivos de la víctima activen ningún tipo de alarma.
La vulnerabilidad, que según se informa aún no se ha parcheado, permite a los actores de amenazas eludir Mark of the Web, una función de Windows que etiqueta los archivos descargados de ubicaciones de Internet que no son de confianza.
El malware que se distribuye es Qbot (también conocido como Quakbot), un antiguo y conocido troyano bancario, pero que aún representa una gran amenaza para las víctimas.
Ejecutar archivos ISO
La distribución comienza con un correo electrónico de phishing, que contiene un enlace a un archivo ZIP protegido con contraseña. Eso, a su vez, lleva un archivo de imagen de disco, ya sea un archivo .IMG o .ISO que, si se monta, muestra un archivo JavaScript independiente con firmas mal formadas, un archivo de texto y una carpeta con un archivo .DLL. El archivo JavaScript lleva un script VB que lee el contenido del archivo de texto, lo que activa la ejecución del archivo .DLL.
Como Windows no etiquetó correctamente las imágenes ISO con las banderas Mark of the Web, se les permitió iniciarse sin ninguna advertencia. De hecho, en los dispositivos que ejecutan Windows 10 o posterior, simplemente hacer doble clic en un archivo de imagen de disco monta automáticamente el archivo como una nueva letra de unidad.
Esta no es la primera vez que los piratas informáticos abusan de las vulnerabilidades que rodean la función Mark of the Web. Recientemente, se observó a los actores de amenazas implementando un método similar para distribuir el ransomware Magniber, BleepingEquipo dice, recordándonos un informe reciente de HP que descubrió la campaña.
De hecho, se usó la misma clave mal formada tanto en esto como en la campaña de Magniber, encontró la publicación.
Aparentemente, Microsoft ha estado al tanto de la falla desde al menos octubre de 2022, pero aún no ha lanzado un parche, pero dado que ahora se ha observado que se usa en la naturaleza, es seguro asumir que veremos una solución como parte de la próxima actualización del martes de parches de diciembre.
Vía: BleepingComputer (se abre en una pestaña nueva)