Un investigador de seguridad ha descubierto unos nuevos ataques de ‘phishing’ que utilizan una vulnerabilidad de día cero de Windows para instalar el malware ‘QBot’ a través de archivos distribuidos por correo electrónico, sin que se muestren las advertencias de seguridad Mark of the Web (MoTW, por sus siglas en inglés) que aparecen cuando se descargan archivos que no son de confianza.
El sistema Windows agrega un atributo especial llamado Mark of the Web a los archivos que se descargan con ubicación remota, como los documentos descargados de Internet o los adjuntos de un correo electrónico, es decir, archivos que no proceden de un lugar de confianza.
De esta manera, cuando un usuario intenta abrir un archivo MoTW, Windows emite una advertencia de seguridad en la que requiere una confirmación de si se está seguro de abrir el archivo, informando de que podría ser un ‘software’ que dañe el dispositivo.
Sin embargo, los atacantes están utilizando una nueva vulnerabilidad de día cero de Windows, identificada por el analista de analyst at ANALYGENCE Will Dormant en octubre, que impide que el sistema muestre estas advertencias de seguridad a la víctima, abriendo directamente el archivo con el ‘malware’ y permitiendo que se ejecute el programa.
Los nuevos ataques de ‘phishing’ de ‘QBot’ aprovechan la vulnerabilidad, como ha explicado el investigador de seguridad ProxyLif. Comienzan con un correo electrónico que incluye un enlace a un documento y una contraseña para poder abrir el archivo del documento.
En el enlace se encuentra un archivo ZIP protegido con contraseña que contiene otro archivo ZIP y dentro, un archivo IMG. Según ProxyLife, el archivo IMG incluye, a su vez, un archivo .js; uno de texto (data.txt) y otra carpeta con el archivo DLL renombrado como archivo .tmp (‘semejanza.tmp’), que es el que instala el ‘malware’.
Como el archivo .js se origina en Internet, Windows debería mostrar la advertencia de seguridad Mark of the Web, sin embargo, se recurre a la vulnerabilidad del día cero de Windows al estar firmado con una clave con formato incorrecto, que permite que el script JS se ejecute y cargue el ‘malware’ QBot.
Una vez se carga el ‘malware’ se inyecta en procesos legítimos de Windows para evadir la detección, como ermgr.exe o AtBroker.exe. Actualmente, Microsoft conoce esta vulnerabilidad y se espera que esté solucionada como parte de las actualizaciones de seguridad de los parches de diciembre de este año 2022.
El ‘software’ malicioso QBot es un ‘malware’ que afecta a Windows y que fue desarrollado inicialmente como un troyano bancario, pero que ha evolucionado hasta ser un lanzador de ‘malware’. Además, se ejecuta de manera discreta en un segundo plano y su objetivo es robar correos electrónicos para usarlos en otros ataques de ‘phishing’, a la par que instalar otros ‘malwares’ que podrían robar datos o causar ataques de ‘ransomware’.
