Des chercheurs ont récemment découvert une vulnérabilité zero-day qui permet aux pirates d’exécuter des logiciels malveillants (s’ouvre dans un nouvel onglet) sur les terminaux Windows cibles (s’ouvre dans un nouvel onglet) sans que les appareils victimes ne déclenchent une quelconque alarme.
La vulnérabilité, qui n’aurait pas encore été corrigée, permet aux acteurs de la menace de contourner Mark of the Web, une fonctionnalité Windows qui étiquette les fichiers téléchargés à partir d’emplacements Internet non fiables.
Le logiciel malveillant distribué est Qbot (AKA Quakbot), un cheval de Troie bancaire ancien et bien connu, mais qui représente toujours une menace majeure pour les victimes.
Exécution de fichiers ISO
La distribution commence par un e-mail de phishing, qui contient un lien vers une archive ZIP protégée par mot de passe. Cela, à son tour, contient un fichier image disque, soit un fichier .IMG ou .ISO qui, s’il est monté, affiche un fichier JavaScript autonome avec des signatures malformées, un fichier texte et un dossier avec un fichier .DLL. Le fichier JavaScript contient un script VB qui lit le contenu du fichier texte, ce qui déclenche l’exécution du fichier .DLL.
Comme Windows n’a pas correctement étiqueté les images ISO avec les drapeaux Mark of the Web, elles ont été autorisées à se lancer sans aucun avertissement. En fait, sur les appareils exécutant Windows 10 ou une version plus récente, il suffit de double-cliquer sur un fichier d’image disque pour monter automatiquement le fichier en tant que nouvelle lettre de lecteur.
Ce n’est pas la première fois que des pirates informatiques exploitent les vulnérabilités entourant la fonctionnalité Mark of the Web. Récemment, des pirates ont été observés en train de déployer une méthode similaire pour distribuer le rançongiciel Magniber, BipOrdinateur dit, nous rappelant un récent rapport HP qui a découvert la campagne.
En fait, la même clé malformée a été utilisée à la fois dans cette campagne et dans la campagne Magniber, a révélé la publication.
Microsoft est apparemment bien conscient de la faille depuis au moins octobre 2022, mais n’a pas encore publié de correctif, mais étant donné qu’il a maintenant été observé comme étant utilisé dans la nature, il est prudent de supposer que nous verrons un correctif comme dans le cadre de la prochaine mise à jour du Patch Tuesday de décembre.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)