Serangan phishing baru menggunakan kerentanan Windows zero-day untuk menjatuhkan malware Qbot tanpa menampilkan peringatan keamanan Mark of the Web.
Saat file diunduh dari lokasi jauh yang tidak tepercaya, seperti Internet atau lampiran email, Windows menambahkan atribut khusus ke file yang disebut Mark of the Web.
Mark of the Web (MoTW) ini adalah aliran data alternatif yang berisi informasi tentang file, seperti zona keamanan URL file berasal dari, perujuknya, dan URL unduhannya.
Saat pengguna mencoba membuka file dengan atribut MoTW, Windows akan menampilkan peringatan keamanan yang menanyakan apakah mereka yakin ingin membuka file tersebut.
“Meskipun file dari Internet dapat bermanfaat, jenis file ini berpotensi membahayakan komputer Anda. Jika Anda tidak mempercayai sumbernya, jangan buka perangkat lunak ini,” bunyi peringatan dari Windows.
Sumber: BleepingComputer
Bulan lalu, tim intelijen ancaman HP melaporkan bahwa serangan phishing menyebar Magniber ransomware menggunakan file JavaScript.
File JavaScript ini tidak sama dengan yang digunakan di situs web tetapi merupakan file mandiri dengan ekstensi ‘.JS’ yang dijalankan menggunakan Windows Script Host (wscript.exe).
Setelah menganalisis file, Will Dormann, analis kerentanan senior di ANALYGENCE, telah menemukan bahwa pelaku ancaman menggunakan a kerentanan zero-day Windows baru yang mencegah peringatan keamanan Mark of the Web ditampilkan.
Untuk mengeksploitasi kerentanan ini, file JS (atau jenis file lainnya) dapat ditandatangani menggunakan blok tanda tangan yang disandikan base64 tertanam, seperti yang dijelaskan dalam ini Artikel dukungan Microsoft.
Sumber: BleepingComputer
Namun, ketika file berbahaya dengan salah satu tanda tangan salah ini dibuka, bukannya ditandai oleh Microsoft SmartScreen dan menampilkan peringatan keamanan MoTW, Windows secara otomatis mengizinkan program untuk dijalankan.
Kampanye malware QBot menggunakan Windows zero-day
Terkini Kampanye phishing malware QBot telah mendistribusikan arsip ZIP yang dilindungi kata sandi yang berisi gambar ISO. Gambar ISO ini berisi pintasan Windows dan DLL untuk menginstal malware.
Gambar ISO digunakan untuk mendistribusikan malware karena Windows tidak menyebarkan Tanda Web dengan benar ke file di dalamnya, memungkinkan file yang ada di dalamnya melewati peringatan keamanan Windows.
Sebagai bagian dari Patch Selasa November 2022 Microsoft, pembaruan keamanan dirilis yang memperbaiki bug inimenyebabkan bendera MoTW menyebar ke semua file di dalam citra ISO terbuka, memperbaiki bypass keamanan ini.
Dalam kampanye phishing QBot baru telah menemukan oleh peneliti keamanan ProxyLifepelaku ancaman telah beralih ke kerentanan zero-day Windows Mark of the Web dengan mendistribusikan file JS yang ditandatangani dengan tanda tangan cacat.
Kampanye phishing baru ini dimulai dengan email yang menyertakan tautan ke dokumen yang diduga dan kata sandi ke file tersebut.
Sumber: BleepingComputer
Saat tautan diklik, arsip ZIP yang dilindungi kata sandi diunduh yang berisi file zip lain, diikuti oleh file IMG.
Di Windows 10 dan yang lebih baru, saat Anda mengklik dua kali pada file gambar disk, seperti IMG atau ISO, sistem operasi akan memasangnya secara otomatis sebagai huruf drive baru.
File IMG ini berisi file .js (‘WW.js’), file teks (‘data.txt’), dan folder lain yang berisi file DLL yang diubah namanya menjadi file .tmp (‘resemblance.tmp’) [VirusTotal], seperti diilustrasikan di bawah ini. Perlu dicatat bahwa nama file akan berubah per kampanye, sehingga tidak boleh dianggap statis.
Sumber: BleepingComputer
File JS berisi skrip VB yang akan membaca file data.txt, yang berisi string ‘vR32’, dan menambahkan konten ke parameter shellexecute perintah untuk memuat file DLL ‘port/resemblance.tmp’. Dalam email khusus ini, perintah yang direkonstruksi adalah:
regSvR32 port\\resemblance.tmp
Sumber: BleepingComputer
Karena file JS berasal dari Internet, meluncurkannya di Windows akan menampilkan peringatan keamanan Mark of the Web.
Namun, seperti yang Anda lihat dari gambar skrip JS di atas, itu ditandatangani menggunakan kunci cacat yang sama yang digunakan dalam kampanye ransomware Magniber untuk mengeksploitasi kerentanan Windows zero-day.
Tanda tangan yang cacat ini memungkinkan skrip JS untuk menjalankan dan memuat malware QBot tanpa menampilkan peringatan keamanan apa pun dari Windows, seperti yang ditunjukkan oleh proses yang diluncurkan di bawah ini.
Sumber: BleepingComputer
Setelah beberapa saat, pemuat malware akan menyuntikkan DLL QBot ke dalam proses Windows yang sah untuk menghindari deteksi, seperti wermgr.exe atau AtBroker.exe.
Microsoft telah mengetahui tentang kerentanan zero-day ini sejak Oktober, dan sekarang setelah kampanye malware lain mengeksploitasinya, semoga bug tersebut diperbaiki sebagai bagian dari pembaruan keamanan Patch Tuesday Desember 2022.
Malware QBot
QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang awalnya dikembangkan sebagai trojan perbankan tetapi telah berkembang menjadi penetes malware.
Setelah dimuat, malware akan diam-diam berjalan di latar belakang sambil mencuri email untuk digunakan dalam serangan phishing lainnya atau untuk memasang muatan tambahan seperti Ratel kasar, Serangan Kobaltdan malware lainnya.
Memasang toolkit pasca-eksploitasi Brute Ratel dan Cobalt Strike biasanya menyebabkan serangan yang lebih mengganggu, seperti pencurian data dan serangan ransomware.
Di masa lalu, Egregor dan Prolock operasi ransomware bermitra dengan distributor QBot untuk mendapatkan akses ke jaringan perusahaan. Baru-baru ini, Basta Hitam serangan ransomware telah terlihat di jaringan setelah infeksi QBot.
