Phishing-aanvallers gebruiken sinds kort een zero-day kwetsbaarheid in Windows om Qbot-malware te droppen zonder de beveiligingswaarschuwingen van Windows te triggeren.
Het threat intelligence team van HP onthulde vorige maand dat phishing-aanvallers Magniber ransomware verspreiden via JavaScript-bestanden. Will Dormann, senior analist bij Analygence, ontdekte dat de aanvallers een nieuwe zero-day kwetsbaarheid in Windows misbruiken om te voorkomen dat het besturingssysteem beveiligingswaarschuwingen genereert.
Wanneer je op Windows bestanden downloadt van een niet-vertrouwde locatie voegt Windows een Mark of the Web (MoTW)-attribuut toe aan de bestnaden. Het attribuut bevat veiligheidsinformatie over het bestand, zoals de URL-beveiligingszones waaruit het bestand afkomstig is.
Windows gebruikt URL-beveiligingszones om de betrouwbaarheid van een URL vast te stellen. De MoTW kan gegevens bevatten over de bron van het bestand en de URL’s die naar het bestand verwijzen. Wanneer je een bestand met een MoTW-attribuut probeert te openen geeft Windows een beveiligingswaarschuwing. De zero-day kwetsbaarheid voorkomt dat Windows een beveiligingswaarschuwing toont.
De aanval
Cyberaanvallers wisten de kwetsbaarheid te misbruiken door een JS-bestand te ondertekenen met een embedded base64 signature block. Securitybedrijf ProxyLife ontdekte deze week een nieuwe campagne op basis van dezelfde kwetsbaarheid. De aanvallers gebruiken het MoTW-attribuut om QBot-malware te verspreiden zonder de MoTW-waarschuwing te triggeren.
De phishing-campagne begint met een e-mail met een link naar een document en een wachtwoord. Wanneer een slachtoffer het bestand opent wordt de QBot-malware geladen. QBot, ook bekend als Qakbot, werd aanvankelijk ontwikkeld als banking trojan. Mettertijd transformeerde de malware in een dropper.
Zodra een slachtoffer de malware laadt draait het programma stilletjes op de achtergrond terwijl het emails steelt voor andere phishingaanvallen en de installatie van payloads, waaronder Brute Ratel en Cobalt Strike.
8 minuten geleden
