Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Хакеры используют Знак Интернета для доставки вредоносного ПО

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 02-05-2025, 12:44 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Злоумышленники обходят функцию защиты Windows и загружают QBot и Cobalt Strike.

Исследователь кибербезопасности ProxyLife обнаружил , что в новых фишинговых атаках используется уязвимость нулевого дня Windows, доставляющая вредоносное ПО Qbot в обход системы защиты Mark of the Web .
Когда файлы загружаются из ненадежного источника – из Интернета или из вложения электронной почты, Windows добавляет к файлу специальный атрибут под названием Mark of the Web (MoTW). Когда пользователь пытается открыть файл с атрибутом MoTW, Windows отображает предупреждение системы безопасности:

Предупреждение Mark of the Web
В ходе новой фишинговой кампании QBot, хакеры используют 0-day уязвимость Mark of the Web, распространяя JS-файлы, подписанные искаженными подписями. Кампания начинается с электронного письма, которое содержит ссылку на документ и пароль к файлу.

Фишинговое письмо со ссылкой на скачивание вредоносного архива
При нажатии на ссылку загружается запароленный ZIP-архив, содержащий еще один ZIP-файл, хранящий IMG-файл, который Windows автоматически монтирует как новый диск. IMG-файл содержит следующие файлы:

Смонтированный IMG-файл
JavaScript-файл содержит VBScript-сценарий, который считывает файл «data.txt и добавляет определенный код для загрузки DLL-файла «port/resemblance.tmp».

JS-файл с искаженной подписью для использования уязвимости
Так как JS-файл подписан с использованием искаженного ключа, который использовался в кампаниях Magniber для использования 0-day уязвимости Windows, JS-скрипт загружает QBot без отображения предупреждений MoTW. Кроме того, DLL вредоносного ПО QBot загружается в легитимные процессы Windows, чтобы избежать обнаружения, такие как «wermgr.exe» или «AtBroker.exe».
Microsoft знала об этой уязвимости с октября. Сейчас, когда ее используют другие вредоносные кампании, эксперт надеется, что ошибка будет исправлена ​​​​в рамках обновлений безопасности в декабре 2022 года.
После загрузки QBot (Qakbot) в фоновом режиме похищает электронные письма для использования в других фишинговых атаках или для установки дополнительных полезных нагрузок, таких как Brute Ratel , Cobalt Strike и других вредоносных программ.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 08:50 PM.

Contact Us - Carder.life - Archive - Top