lun. Déc 5th, 2022

Si vous recevez un email sous Windows avec un fichier IMG dans un fichier ZIP dans un autre fichier ZIP avec un mot de passe… Mieux vaut le supprimer !

Dans une nouvelle campagne de phishing, les attaquants contournent délibérément les avertissements de sécurité de Windows pour injecter le malware QBot dans les systèmes de leurs victimes. Les pirates profitent d’une vulnérabilité zero-day dans Windows 10 et supérieur. Une mise à jour de Microsoft n’est pas encore en vue.

Les signatures incorrectes suppriment les avertissements de sécurité Windows

Un fichier téléchargé à partir d’Internet ou une pièce jointe à un e-mail reçoit un attribut spécial de Windows appelé « Marque du Web» (MoTW). Celui-ci contient des informations relatives à la sécurité sur l’origine du fichier. Par exemple, leur zone de sécurité URL, leur référent et leur URL de téléchargement.

Normalement, lorsqu’un utilisateur essaie d’ouvrir un tel fichier, Windows affiche automatiquement un avertissement de sécurité. Dans celui-ci, le système d’exploitation indique les dangers potentiels que l’exécution de fichiers provenant de sources non fiables peut entraîner. Ce n’est que lorsque l’utilisateur le confirme que le système exécute le fichier.

Mais il semble y avoir des blocs de signature spéciaux codés en base64 qui garantissent que Microsoft SmartScreen ne reconnaît pas un fichier signé avec lui. Par conséquent, aucun avertissement de sécurité MoTW n’apparaît non plus. Le système exécute donc immédiatement le fichier potentiellement malveillant.

Fichier JS dans l’image dans l’archive dans l’archive avec mot de passe – Qui déballe ceci…

Une nouvelle campagne de phishing exploite également cette vulnérabilité pour distribuer le malware QBot. Les détails techniques sont décrits plus en détail dans un article de BleepingComputer.

Voir aussi  Plateformes de médicaments sur le dark web : le risque pour les clients augmente

Microsoft a déjà résolu une partie du problème le jour du patch. En effet, auparavant, Windows ne transférait pas correctement l’attribut MoTW aux fichiers contenus dans les images ISO.

Par conséquent, les attaquants ont préféré empaqueter le malware dans de tels fichiers ISO. Mais quiconque a déjà installé les dernières mises à jour de Windows est au moins protégé de ce danger.

En conséquence, cependant, les attaquants ont élargi leur stratégie pour inclure la vulnérabilité zero-day décrite ci-dessus. Ils se sont récemment appuyés sur des fichiers JS avec des signatures incorrectes.

Ceux-ci arrivent sur les systèmes cibles dans un fichier IMG, qui à son tour est emballé dans un fichier ZIP dans une autre archive ZIP protégée par mot de passe. Un lien vers cette archive atterrit dans la boîte aux lettres de la victime avec une excuse pour l’ouvrir et le mot de passe associé.

Enfin, le fichier JS contenu dans le fichier IMG contient un script VB qui lit des données supplémentaires à partir des fichiers fournis et exécute une série de commandes basées sur celles-ci. Parfois, le malware QBot est introduit en contrebande. Cela se produit sans aucun avertissement de sécurité en raison de la mauvaise signature du fichier JS.

Enfin, en injectant la DLL QBot dans des processus Windows légitimes, l’application empêche le système d’exploitation de détecter le malware.

QBot lit les e-mails et télécharge des logiciels malveillants supplémentaires si nécessaire

Le malware Windows QBot est un compte-gouttes de malware. Cela signifie que son objectif principal est de recharger tout autre logiciel malveillant et ainsi de garder la porte d’un système infiltré ouverte aux attaquants. Cela permet par exemple des attaques de rançongiciels ou des vols de données à divers degrés.

Voir aussi  Warez.cx – un nouveau portail de téléchargement ouvre ses portes

De plus, QBot accède parfois aux e-mails en arrière-plan afin d’utiliser à mauvais escient les informations qu’ils contiennent pour d’autres attaques de phishing.

Microsoft est au courant de la vulnérabilité zero-day depuis octobre au plus tard, mais n’a pas encore fourni de mise à jour. Il faut donc espérer que le groupe fermera la vulnérabilité lors du prochain patch day en décembre. Malheureusement, ce n’est de loin pas le seul chantier sur lequel Microsoft doit travailler.