Uma nova campanha de phishing encontra-se a usar uma vulnerabilidade zero-day sobre o Windows para levar a cabo as suas atividades maliciosas. A campanha leva a que os utilizadores possam instalar o malware Qbot nos seus sistemas.
Por norma, quando os utilizadores descarregam um conteúdo desconhecido da internet, o Windows marca esse ficheiro com uma configuração conhecida como "Mark of the Web (MoTW)". Este pequeno atributo indica ao Windows que o ficheiro foi descarregado de uma fonte externa, e portanto, deve ser considerado como "desconhecido".
Isto é o que permite ao sistema apresentar uma pequena janela para os utilizadores, a questionar se os mesmos pretendem que o ficheiro seja realmente aberto – juntamente com uma indicação de que o mesmo foi originário de fontes desconhecidas e pode conter malware.
No entanto, investigadores de segurança da empresa ANALYGENCE revelaram recentemente terem descoberto uma nova campanha de malware, onde os atacantes conseguem contornar este sistema explorando uma falha zero-day do Windows. Quando explorada, os ficheiros descarregados da Internet podem contornar a proteção MoTW, o que basicamente permite que os mesmos sejam executados sem qualquer género de alerta, e contornando proteções como o Microsoft SmartScreen.
Com isto, o Windows permite que os ficheiros sejam diretamente executados, levando à instalação do malware.
A campanha usa ficheiros javascript para distribuir o conteúdo malicioso, sendo estes ficheiros executados diretamente no sistema pelo Windows Script Host (wscript.exe). No entanto, estes ficheiros eram normalmente distribuídos por ficheiros de imagem .ISO, os quais ignoravam os atributos do MoTW quando extraídos para o sistema.
Os criminosos estariam a aproveitar isso para levar à execução dos ficheiros sem o alerta tradicional do Windows. A Microsoft terá corrigido entretanto este problema com a recente atualização do Patch Tuesday, embora a principal recomendação ainda seja que os utilizadores tenham cuidado sobre onde descarregam os ficheiros e a origem dos mesmos.
Nenhum comentário
Seja o primeiro!