Un investigador de seguridad ha descubierto unos nuevos ataques de phishing que utilizan una vulnerabilidad de día cero de Windows para instalar el malware ‘QBot’ a través de archivos distribuidos por correo electrónico, sin que se muestren las advertencias de seguridad Mark of the Web (MoTW, por sus siglas en inglés) que aparecen cuando se descargan archivos que no son de confianza.
El sistema Windows agrega un atributo especial llamado Mark of the Web a los archivos que se descargan con ubicación remota, como los documentos descargados de Internet o los adjuntos de un correo electrónico, es decir, archivos que no proceden de un lugar de confianza.
MIRA: Cómo es PC Manager, la nueva app oficial de Microsoft que quiere sustituir a CCleaner
De esta manera, cuando un usuario intenta abrir un archivo MoTW, Windows emite una advertencia de seguridad en la que requiere una confirmación de si se está seguro de abrir el archivo, informando de que podría ser un software que dañe el dispositivo.
Sin embargo, los atacantes están utilizando una nueva vulnerabilidad de día cero de Windows, identificada por el analista de analyst at ANALYGENCE Will Dormant en octubre, que impide que el sistema muestre estas advertencias de seguridad a la víctima, abriendo directamente el archivo con el malware y permitiendo que se ejecute el programa.
Los nuevos ataques de phishing de ‘QBot’ aprovechan la vulnerabilidad, como ha explicado el investigador de seguridad ProxyLif. Comienzan con un correo electrónico que incluye un enlace a un documento y una contraseña para poder abrir el archivo del documento.
MIRA TAMBIÉN: Google Chrome le dice adiós a las actualizaciones en Windows 7 el próximo año
En el enlace se encuentra un archivo ZIP protegido con contraseña que contiene otro archivo ZIP y dentro, un archivo IMG. Según ProxyLife, el archivo IMG incluye, a su vez, un archivo .js; uno de texto (data.txt) y otra carpeta con el archivo DLL renombrado como archivo .tmp (‘semejanza.tmp’), que es el que instala el malware.
Como el archivo .js se origina en Internet, Windows debería mostrar la advertencia de seguridad Mark of the Web, sin embargo, se recurre a la vulnerabilidad del día cero de Windows al estar firmado con una clave con formato incorrecto, que permite que el script JS se ejecute y cargue el malware QBot.
MIRA: Windows 11: ahora el explorador de archivos tiene pestañas y una sección de archivos favoritos
Una vez se carga el malware se inyecta en procesos legítimos de Windows para evadir la detección, como ermgr.exe o AtBroker.exe. Actualmente, Microsoft conoce esta vulnerabilidad y se espera que esté solucionada como parte de las actualizaciones de seguridad de los parches de diciembre de este año 2022.
El software malicioso QBot es un malware que afecta a Windows y que fue desarrollado inicialmente como un troyano bancario, pero que ha evolucionado hasta ser un lanzador de malware. Además, se ejecuta de manera discreta en un segundo plano y su objetivo es robar correos electrónicos para usarlos en otros ataques de phishing, a la par que instalar otros malwares que podrían robar datos o causar ataques de ransomware.
TE PUEDE INTERESAR
Contenido sugerido
Contenido GEC