Фишеры используют 0-day в Windows для установки вредоноса Qbot

Фишеры используют 0-day в Windows для установки вредоноса Qbot

Фишеры используют 0-day в Windows для установки вредоноса Qbot

Новая фишинговая кампания отметилась использованием уязвимости нулевого дня (0-day) в Windows для обхода защитной функции Mark of the Web. Именно так вредонос Qbot теперь проникает на устройства пользователей.

Напомним, что Mark of the Web (MoTW) предназначена для маркировки загружаемых из Сети файлов. Windows добавляет специальный атрибут «незнакомым» семплам, что может указывать на их потенциальную опасность.

Если пользователь попытается запустить такой файл, MoTW оповестит его о неизвестном происхождении и предупредит о возможной опасности. Выглядит это так:

 

В новой фишинговой кампании злоумышленники распространяют QBot в защищённых паролями ZIP-архивах, содержащих ISO-образы. Уже в самих образах эксперты нашли ярлык Windows и DLL для установки вредоносной программы в систему.

Об атаках рассказал исследователь под ником ProxyLife: операторы QBot используют JavaScript-файлы, у которых имеются специально созданные подписи. Всё начинается с вредоносного письма, в котором есть ссылка на некий документ и пароль от архива.

 

Далее на компьютер пользователя загружается вышеупомянутый ISO-образ, содержащий файлы WW.js, data.txt и переименованную DLL — resemblance.tmp. К слову, имена файлов меняются, поэтому не стоит их воспринимать как статичную единицу.

JS-файл содержит скрипт в формате VB, задача которого — читать текстовый файл data.txt. В data.txt есть строка vR32, содержащая параметры команды shellexecute. Интересно, что загруженные файлы JavaScript обходят маркировку Mark of the Web, что позволяет вызвать минимум подозрений у получателя фишингового письма.

Напомним, в начале месяца вышел бесплатный неофициальный патч для 0-day в Windows MoTW. Это отличная альтернатива для тех, кто не хочет ждать Microsoft, но хочет защитить себя.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы AV Killer используют драйвер Avast для отключения защитного софта

В новой кампании киберпреступники используют старую версию легитимного антируткит-драйвера Avast для отключения защитных программ, ухода от детектирования и получения контроля над системой.

В этих атаках участвует один из вариантов вредоносной программы AV Killer. Последняя содержит жёстко запрограммированный список из 142 имён антивирусных процессов.

Поскольку упомянутый драйвер Avast работает на уровне ядра, злоумышленники получают доступ к критически важным компонентам операционной системы. Например, что при желании вредонос может завершать практически любые процессы.

Как отмечают обратившие внимание на атаки AV Killer специалисты компании Trellix, операторы зловреда задействуют хорошо известную технику BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер).

Попав в систему, файл AV Killer с именем kill-floor.exe устанавливает заранее уязвимый драйвер уровня ядра — ntfs.bin (помещается в директорию пользователя по умолчанию).

После этого вредоносная программа создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует сам драйвер.

 

Как мы уже отмечали, у AV Killer есть жёстко заданный в коде список из 142 процессов, который сверяется со снепшотом активных процессов. Согласно отчёту Trellix этот список выглядит так:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru