Actus

De nouvelles attaques utilisent une faille zéro day de la sécurité de Windows pour diffuser des logiciels malveillants

Par hfrance , le 24 novembre 2022 , mis à jour le 24 novembre 2022 - 6 minutes de lecture
windows defender
5/5 - (1 vote)

Le logiciel malveillant Qbot est déposé par de nouvelles attaques de phishing utilisant une vulnérabilité de type “zero-day” de Windows sans que les avertissements de sécurité de Mark of the Web soient affichés.

La marque du Web est un attribut unique que Windows ajoute aux fichiers lorsqu’ils sont téléchargés à partir d’un emplacement distant non fiable, tel qu’Internet ou une pièce jointe à un courriel.

La marque du Web (MoTW) de ce fichier est un flux de données alternatif qui comprend des détails le concernant, notamment son référent, l’URL de téléchargement et la zone de sécurité de l’URL d’où il provient.

Lorsqu’un utilisateur tente d’ouvrir un fichier qui possède un attribut MoTW, Windows lui demande s’il est sûr de vouloir ouvrir le fichier en affichant un avertissement de sécurité.

“Les fichiers Internet peuvent être utiles, mais il est possible qu’ils endommagent votre ordinateur. N’ouvrez pas ce logiciel si vous n’avez pas confiance en la source” lit-on dans l’avertissement de Windows.

Windows Mark of the Web security warning
Avertissement de sécurité de Windows Mark of the Web
Source : BleepingComputer

L’équipe de renseignement sur les menaces de HP a révélé le mois dernier que des fichiers JavaScript étaient utilisés dans une attaque de phishing pour diffuser le ransomware Magniber.

Ces fichiers JavaScript autonomes, qui portent l’extension .JS et sont exécutés par l’hôte de script Windows, ne sont pas les mêmes que ceux utilisés sur les sites Web.

Will Dormann, analyste principal des vulnérabilités chez ANALYGENCE, a examiné les fichiers et découvert que les acteurs de la menace utilisaient une nouvelle faille zero-day de Windows qui empêchait l’affichage des avertissements de sécurité Mark of the Web.

Un fichier JS (ou d’autres types de fichiers) peut être signé à l’aide d’un bloc de signature intégré codé en base64 pour tirer parti de cette vulnérabilité, comme l’explique cet article d’assistance de Microsoft.

.

JavaScript file used to install the Magniber Ransomware
Fichier JavaScript utilisé pour installer le Magniber Ransomware
Source : BleepingComputer

Mais au lieu d’être détecté par Microsoft SmartScreen et d’afficher l’avertissement de sécurité MoTW lorsqu’un fichier malveillant portant l’une de ces signatures déformées est ouvert, Windows autorise instantanément l’exécution du programme…

La campagne de logiciels malveillants QBot utilise le jour zéro de Windows

Des paquets ZIP protégés par un mot de passe contenant des images ISO ont été diffusés dans le cadre de récentes campagnes de phishing pour le virus QBot. Ces fichiers ISO contiennent des DLL et un raccourci Windows pour l’installation du logiciel malveillant.

Étant donné que Windows ne propageait pas correctement la marque du Web aux fichiers contenus dans les images ISO, le virus a été distribué via ces fichiers, qui ont pu éviter les alertes de sécurité de Windows.

Des mises à jour de sécurité ont été fournies dans le cadre du Patch Tuesday 2022 de Microsoft qui a corrigé ce bogue, obligeant le drapeau MoTW à se propager à tous les fichiers à l’intérieur d’une image ISO ouverte et résolvant ce contournement de sécurité.

Le chercheur en sécurité ProxyLife a découvert une nouvelle campagne de phishing QBot dans laquelle les acteurs de la menace sont passés à la vulnérabilité zero-day Windows Mark of the Web en diffusant des fichiers JS avec de fausses signatures.

Un lien vers un prétendu document et un mot de passe sont inclus dans le premier courriel de cette nouvelle campagne de phishing.

Phishing email with a link to download malicious archive
Email de phishing avec un lien pour télécharger une archive malveillante
Source : BleepingComputer

Lorsque l’on clique sur le lien, une archive ZIP protégée par un mot de passe et comprenant un autre fichier zip et un fichier IMG est téléchargée.

Un fichier image disque, tel qu’un IMG ou un ISO, sera automatiquement monté comme une nouvelle lettre de lecteur dans Windows 10 et plus lorsque vous double-cliquez dessus.

Le fichier IMG présenté ci-dessous contient un fichier DLL qui a été renommé en fichier .tmp (appelé “resemblance.tmp”), un fichier texte appelé “data.txt” et un fichier .js appelé “WW.js” [VirusTotal]. Les noms de fichiers varieront pour chaque campagne, il ne faut donc pas les considérer comme statiques.

Mounted IMG file
Fichier IMG monté
Source : BleepingComputer

Le fichier JS contient un script VB qui charge le fichier DLL ‘port/resemblance.tmp’ en lisant le fichier data.txt, qui contient la chaîne ‘vR32’, et en ajoutant son contenu à son paramètre. L’instruction reconstituée dans cet e-mail est la suivante

regSvR32 port\\resemblance.tmp
JS file with a malformed signature to exploit Windows zero-day
Fichier JS avec une signature malformée pour exploiter le zero-day de Windows
Source : BleepingComputer

Un avertissement de sécurité Mark of the Web apparaîtrait si vous lanciez le fichier JS dans Windows car il provient d’Internet.

Le script JS est toutefois signé à l’aide de la même clé défectueuse que celle utilisée dans les campagnes de ransomware Magniber pour profiter de la vulnérabilité de type “zero-day” de Windows, comme vous pouvez le voir sur l’image du script en haut.

Le processus lancé ci-dessous montre comment cette signature falsifiée permet au script JS de s’exécuter et de charger le malware QBot sans déclencher aucune alerte de sécurité de la part de Windows.

Regsvr32.exe launching the QBot DLL
Regsvr32.exe lance la DLL QBot
Source : BleepingComputer

Après un certain temps, le chargeur de logiciels malveillants injectera la DLL QBot dans des processus Windows fiables tels que wermgr.exe ou AtBroker.exe afin d’éviter toute détection.

Étant donné que d’autres campagnes de logiciels malveillants utilisent cette vulnérabilité de type “zero-day”, dont Microsoft a connaissance depuis octobre, nous ne pouvons qu’espérer que le bogue sera corrigé dans le cadre des mises à jour de sécurité du Patch Tuesday de décembre 2022.

Le malware QBot

Le malware Windows QBot, également appelé Qakbot, a été créé à l’origine comme un cheval de Troie bancaire, mais s’est transformé pour agir comme un dropper de malware.

Une fois chargé, le virus capture les e-mails et opère furtivement en arrière-plan, installant d’autres charges utiles comme Brute Ratel, Cobalt Strike et des logiciels malveillants tout en étant utilisé dans d’autres tentatives de phishing.

Les attaques par vol de données et par ransomware sont fréquemment lancées après l’installation des boîtes à outils de post-exploitation Brute Ratel et Cobalt Strike.

Dans le passé, les distributeurs de QBot ont collaboré avec les opérations de ransomware d’Egregor et de Prolock pour infiltrer les réseaux d’entreprise. Plus récemment, les réseaux qui avaient été infectés par QBot ont commencé à voir des attaques de ransomware Black Basta.

  • Dell Microsoft Windows Server 2019 Essentials - licence - 1 licence
    Fonctionnalités hybrides avec AzureSécurité multicouches avancéeInnovation plus rapide pour les applicationsUne infrastructure hyperconvergée inédite Windows Server 2019 est le système d'exploitation qui relie les environnements locaux avec Azure.<br/>Il ajoute de nouvelles couches de sécurité tout en vous aidant à moderniser vos applications et votre infrastructure. - Offre exclusivement réservée aux professionnels
  • Symantec Endpoint Protection (v. 12.1) - version boîte + 1 Year Essential Support - 25 utilisateurs
    Protection contre les programmes malveillants tels que virus, vers, logiciels espions, chevaux de Troie, menaces de type "zero-day" et rootkitsPrévention des menaces de sécurité, ce qui réduit les coûts d'administrationRéduction du coût total de possession relatif à la sécurité des terminaux Symantec Endpoint Protection associe Symantec AntiVirus à des technologies avancées de prévention des menaces et de protection contre les programmes malveillants pour les portables, ordinateurs de bureau et serveurs.<br/>Il intègre en toute transparence des technologies de sécurité majeures dans un agent et une console de gestion uniques pour renforcer la protection et réduire le coût total de possession. - Offre exclusivement réservée aux professionnels
  • Kinguin G Data Internet Security 2020 EU Key (1 Year / 1 PC)
    G DATA Internet Security 2020 avec antivirus, pare-feu et protection contre les exploits! Sécurité contre les virus, les logiciels espions, les pirates et les logiciels malveillants. Innovant Meilleure protection G DATA pour Windows: nos toutes nouvelles technologies DeepRay® et BEAST utilisent l'intelligence artificielle et l'analyse comportementale pour détecter les malwares camouflés et jusqu'alors inconnus. Sécurisé sur Internet Attaques lors de transactions bancaires et d'achats en ligne...

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.