Notizie

Nuovi attacchi sfruttano la falla di sicurezza zero day di Windows per diffondere il malware

By Philippe Ternision , on 5 Giugno 2023 - 6 minutes to read
windows defender
Casa ' Notizie ' Nuovi attacchi sfruttano la falla di sicurezza zero day di Windows per diffondere il malware
5/5 - (1 voto)

Le logiciel malveillant Qbot est déposé par de nouvelles attaques de phishing utilisant une vulnérabilité de type “zero-day” de Windows sans que les avertissements de sécurité de Mark of the Web soient affichés.

La marque du Web est un attribut unique que Windows ajoute aux fichiers lorsqu’ils sont téléchargés à partir d’un emplacement distant non fiable, tel qu’Internet ou une pièce jointe à un courriel.

La marque du Web (MoTW) de ce fichier est un flux de données alternatif qui comprend des détails le concernant, notamment son référent, l’URL de téléchargement et la zone de sécurité de l’URL d’où il provient.

Lorsqu’un utilisateur tente d’ouvrir un fichier qui possède un attribut MoTW, Windows lui demande s’il est sûr de vouloir ouvrir le fichier en affichant un avertissement de sécurité.

“Les fichiers Internet peuvent être utiles, mais il est possible qu’ils endommagent votre ordinateur. N’ouvrez pas ce logiciel si vous n’avez pas confiance en la source” lit-on dans l’avertissement de Windows.

Windows Mark of the Web security warning
Avertissement de sécurité de Windows Mark of the Web
Fonte: BleepingComputer

L’équipe de renseignement sur les menaces de HP a révélé le mois dernier que des fichiers JavaScript étaient utilisés dans une attaque de phishing pour diffuser le ransomware Magniber.

Ces fichiers JavaScript autonomes, qui portent l’extension .JS et sont exécutés par l’hôte de script Windows, ne sont pas les mêmes que ceux utilisés sur les siti web.

Da scoprire  Les gangs de ransomware Clop et LockBit à l'origine des attaques de serveurs PaperCut

Will Dormann, analyste principal des vulnérabilités chez ANALYGENCE, a examiné les fichiers et découvert que les acteurs de la menace utilisaient une nouvelle faille zero-day de Windows qui empêchait l’affichage des avertissements de sécurité Mark of the Web.

Un fichier JS (ou d’autres types de fichiers) peut être signé à l’aide d’un bloc de signature intégré codé en base64 pour tirer parti de cette vulnérabilité, comme l’explique cet article d’assistance de Microsoft.

.

JavaScript file used to install the Magniber Ransomware
Fichier JavaScript utilisé pour installer le Magniber Ransomware
Fonte: BleepingComputer

Mais au lieu d’être détecté par Microsoft SmartScreen et d’afficher l’avertissement de sécurité MoTW lorsqu’un fichier malveillant portant l’une de ces signatures déformées est ouvert, Windows autorise instantanément l’exécution du programme…

La campagne de logiciels malveillants QBot utilise le jour zéro de Windows

Des paquets ZIP protégés par un mot de passe contenant des images ISO ont été diffusés dans le cadre de récentes campagnes de phishing pour le virus QBot. Ces fichiers ISO contiennent des DLL et un raccourci Windows pour l’installation du software dannoso.

Étant donné que Windows ne propageait pas correctement la marque du Web aux fichiers contenus dans les images ISO, le virus a été distribué via ces fichiers, qui ont pu éviter les alertes de sécurité de Windows.

Des mises à jour de sécurité ont été fournies dans le cadre du Patch Tuesday 2022 de Microsoft qui a corrigé ce bogue, obligeant le drapeau MoTW à se propager à tous les fichiers à l’intérieur d’une image ISO ouverte et résolvant ce contournement de sécurité.

Le chercheur en sécurité ProxyLife a découvert une nouvelle campagne de phishing QBot dans laquelle les acteurs de la menace sont passés à la vulnérabilité zero-day Windows Mark of the Web en diffusant des fichiers JS avec de fausses signatures.

Da scoprire  Microsoft indaga sui problemi del desktop remoto di Windows 11 22H2

Un lien vers un prétendu document et un mot de passe sont inclus dans le premier courriel de cette nouvelle campagne de phishing.

Phishing email with a link to download malicious archive
Email de phishing avec un lien pour télécharger une archive malveillante
Fonte: BleepingComputer

Lorsque l’on clique sur le lien, une archive ZIP protégée par un mot de passe et comprenant un autre fichier zip et un fichier IMG est téléchargée.

Un fichier image disque, tel qu’un IMG ou un ISO, sera automatiquement monté comme une nouvelle lettre de lecteur dans Windows 10 et plus lorsque vous double-cliquez dessus.

Le fichier IMG présenté ci-dessous contient un fichier DLL qui a été renommé en fichier .tmp (appelé “resemblance.tmp”), un fichier texte appelé “data.txt” et un fichier .js appelé “WW.js” [VirusTotal]. Les noms de fichiers varieront pour chaque campagne, il ne faut donc pas les considérer comme statiques.

Mounted IMG file
Fichier IMG monté
Fonte: BleepingComputer

Le fichier JS contient un script VB qui charge le fichier DLL ‘port/resemblance.tmp’ en lisant le fichier data.txt, qui contient la chaîne ‘vR32’, et en ajoutant son contenu à son paramètre. L’instruction reconstituée dans cet e-mail est la suivante

regSvR32 port\\resemblance.tmp
JS file with a malformed signature to exploit Windows zero-day
Fichier JS avec une signature malformée pour exploiter le zero-day de Windows
Fonte: BleepingComputer

Un avertissement de sécurité Mark of the Web apparaîtrait si vous lanciez le fichier JS dans Windows car il provient d’Internet.

Le script JS est toutefois signé à l’aide de la même clé défectueuse que celle utilisée dans les campagnes de ransomware Magniber pour profiter de la vulnérabilité de type “zero-day” de Windows, comme vous pouvez le voir sur l’image du script en haut.

Le processus lancé ci-dessous montre comment cette signature falsifiée permet au script JS de s’exécuter et de charger le malware QBot sans déclencher aucune alerte de sécurité de la part de Windows.

Regsvr32.exe launching the QBot DLL
Regsvr32.exe lance la DLL QBot
Fonte: BleepingComputer

Après un certain temps, le chargeur de logiciels malveillants injectera la DLL QBot dans des processus Windows fiables tels que wermgr.exe ou AtBroker.exe afin d’éviter toute détection.

Da scoprire  Prise en main de Windows 11 Moment 3, voici toutes les nouveautés

Étant donné que d’autres campagnes de logiciels malveillants utilisent cette vulnérabilité de type “zero-day”, dont Microsoft a connaissance depuis octobre, nous ne pouvons qu’espérer que le bogue sera corrigé dans le cadre des mises à jour de sécurité du Patch Tuesday de décembre 2022.

Le malware QBot

Le malware Windows QBot, également appelé Qakbot, a été créé à l’origine comme un cheval de Troie bancaire, mais s’est transformé pour agir comme un dropper de malware.

Une fois chargé, le virus capture les e-mails et opère furtivement en arrière-plan, installant d’autres charges utiles comme Brute Ratel, Cobalt Strike et des logiciels malveillants tout en étant utilisé dans d’autres tentatives de phishing.

Les attaques par vol de données et par ransomware sont fréquemment lancées après l’installation des boîtes à outils de post-exploitation Brute Ratel et Cobalt Strike.

Dans le passé, les distributeurs de QBot ont collaboré avec les opérations de ransomware d’Egregor et de Prolock pour infiltrer les réseaux d’entreprise. Plus récemment, les réseaux qui avaient été infectés par QBot ont commencé à voir des attaques de ransomware Black Basta.

Visualizzazioni 212

Philippe Ternision

Philippe Ternision

Come amministratore di rete in un grande gruppo, condivido le mie conoscenze su Hfrance per aiutare i miei colleghi.