PowerPoint se utiliza como senuelo para propagar malware

Les chercheurs ont récemment découvert une vulnérabilité zero-day qui permet aux pirates d'exécuter des logiciels malveillants (ouvre dans un nouvel onglet) sur des terminaux Windows ciblés (ouvre dans un nouvel onglet) sans déclencher d'alarmes sur les appareils victimes.

La vulnérabilité, qui n'a pas encore été corrigée, permet aux acteurs de la menace de contourner Mark of the Web, une fonctionnalité Windows qui marque les fichiers téléchargés à partir d'emplacements Internet non fiables.

Le logiciel malveillant distribué est Qbot (également connu sous le nom de Quakbot), un cheval de Troie bancaire ancien et bien connu, mais qui reste une menace majeure pour les victimes.

Exécution de fichiers ISO

La distribution commence par un e-mail de phishing, qui contient un lien vers un fichier ZIP protégé par mot de passe. Celui-ci, à son tour, contient un fichier image disque, soit un fichier .IMG ou .ISO qui, s'il est monté, affiche un fichier JavaScript séparé avec des signatures malformées, un fichier texte et un dossier avec un .dll. Le fichier JavaScript contient un script VB qui lit le contenu du fichier texte, ce qui déclenche l'exécution du fichier .DLL.

Étant donné que Windows n'a pas correctement marqué les images ISO avec les drapeaux Mark of the Web, elles ont été autorisées à se lancer sans avertissement. En fait, sur les appareils exécutant Windows 10 ou version ultérieure, il suffit de double-cliquer sur un fichier d'image disque pour monter automatiquement le fichier en tant que nouvelle lettre de lecteur.

Ce n'est pas la première fois que des pirates exploitent les vulnérabilités entourant la fonction Mark of the Web. Récemment, des acteurs de la menace ont été observés mettant en œuvre une méthode similaire pour distribuer le rançongiciel Magniber, déclare BleepingComputer, nous rappelant un récent rapport de HP qui a révélé la campagne.

En fait, la même clé malformée a été utilisée à la fois dans cette campagne et dans la campagne Magniber, a révélé le message.

Microsoft est apparemment au courant de la faille depuis au moins octobre 2022, mais n'a pas encore publié de correctif, mais comme il a maintenant été observé qu'il est utilisé dans la nature, il est prudent de supposer que nous verrons un correctif. dans le cadre de la prochaine mise à jour du Patch Tuesday de décembre.

Via : BleepingComputer (Ouvre dans un nouvel onglet)

Share