Los nuevos ataques utilizan la omisión de seguridad de Windows de día cero para instalar malware

Malware

Los nuevos ataques de phishing utilizan una vulnerabilidad de día cero de Windows para ejecutar el malware Qbot sin mostrar las advertencias de seguridad de Mark of the Web.

Cuando los archivos se descargan desde una ubicación remota que no es de confianza, como Internet o un archivo adjunto de correo electrónico, Windows agrega un atributo especial al archivo llamado Mark of the Web.

Esta marca de la Web (MoTW) es un flujo de datos alternativo que contiene información sobre el archivo, como la  zona de seguridad de URL de  la que se origina el archivo, su referente y su URL de descarga.

Cuando un usuario intenta abrir un archivo con un atributo MoTW, Windows mostrará una advertencia de seguridad que le preguntará si está seguro de que desea abrir el archivo.

“Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente su computadora. Si no confía en la fuente, no abra este software”, se lee en la advertencia de Windows.

Advertencia de seguridad de Windows Mark of the Web
Advertencia de seguridad de Windows Mark of the Web

El mes pasado, el equipo de inteligencia de amenazas de HP informó que un ataque de phishing estaba distribuyendo el  ransomware Magniber utilizando archivos JavaScript.

Estos archivos JavaScript no son los mismos que los que se usan en los sitios web, pero son archivos independientes con la extensión ‘.JS’ que se ejecutan con Windows Script Host (wscript.exe).

Después de analizar los archivos, Will Dormann, analista senior de vulnerabilidades de ANALYGENCE,  descubrió  que los atacantes estaban usando una nueva vulnerabilidad de día cero de Windows que impedía que se mostraran las advertencias de seguridad de Mark of the Web.

Para aprovechar esta vulnerabilidad, se podría firmar un archivo JS (u otros tipos de archivos) mediante un bloque de firma codificado en base64 incrustado, como se describe en este  artículo de soporte de Microsoft .

Archivo JavaScript utilizado para instalar Magniber Ransomware
Archivo JavaScript utilizado para instalar Magniber Ransomware

Sin embargo, cuando se abre un archivo malicioso con una de estas firmas mal formadas,  en lugar de que  Microsoft SmartScreen lo marque y muestre la advertencia de seguridad de MoTW, Windows automáticamente permite que se ejecute el programa.

La campaña de malware QBot utiliza el día cero de Windows

Las recientes campañas de phishing de malware de QBot  han distribuido archivos ZIP protegidos con contraseña que contienen imágenes ISO. Estas imágenes ISO contienen un acceso directo de Windows y archivos DLL para instalar el malware.

Las imágenes ISO se usaban para distribuir el malware, ya que Windows no propagaba correctamente la Marca de la Web a los archivos que contenían, lo que permitía que los archivos contenidos pasaran por alto las advertencias de seguridad de Windows.

Como parte del martes de parches de noviembre de 2022 de Microsoft, se lanzaron actualizaciones de seguridad que corrigieron este error, lo que provocó que el indicador MoTW se propagara a todos los archivos dentro de una imagen ISO abierta, solucionando esta omisión de seguridad.

En una nueva campaña de phishing de QBot  descubierta  por el investigador de seguridad  ProxyLife , los actores de amenazas cambiaron a la vulnerabilidad de día cero Windows Mark of the Web al distribuir archivos JS firmados con firmas mal formadas.

Esta nueva campaña de phishing comienza con un correo electrónico que incluye un enlace a un supuesto documento y una contraseña para el archivo.

Correo electrónico de phishing con un enlace para descargar un archivo malicioso
Correo electrónico de phishing con un enlace para descargar un archivo malicioso

Cuando se hace clic en el enlace, se descarga un archivo ZIP protegido con contraseña que contiene otro archivo zip, seguido de un archivo IMG.

En Windows 10 y versiones posteriores, cuando hace doble clic en un archivo de imagen de disco, como un IMG o ISO, el sistema operativo lo montará automáticamente como una nueva letra de unidad.

Este archivo IMG contiene un archivo .js (‘WW.js’), un archivo de texto (‘data.txt’) y otra carpeta que contiene un archivo DLL renombrado como archivo .tmp (‘semejanza.tmp’) [ VirusTotal ], como se ilustra a continuación. Cabe señalar que los nombres de los archivos cambiarán por campaña, por lo que no deben considerarse estáticos.

Archivo IMG montado
Archivo IMG montado

El archivo JS contiene una secuencia de comandos VB que leerá el archivo data.txt, que contiene la cadena ‘vR32’, y agrega el contenido al parámetro del comando shellexecute  para cargar el archivo DLL ‘port/semblance.tmp’. En este correo electrónico en particular, el comando reconstruido es:

regSvR32 port\\resemblance.tmp

Archivo JS con una firma mal formada para explotar el día cero de Windows
Archivo JS con una firma mal formada para explotar el día cero de Windows

Como el archivo JS se origina en Internet, iniciarlo en Windows mostraría una advertencia de seguridad de Mark of the Web.

Sin embargo, como puede ver en la imagen del script JS anterior, está firmado con la misma clave con formato incorrecto que se usó en las campañas de ransomware Magniber para explotar la vulnerabilidad de día cero de Windows.

Esta firma mal formada permite que el script JS se ejecute y cargue el malware QBot sin mostrar ninguna advertencia de seguridad de Windows, como se muestra en el proceso iniciado a continuación.

Regsvr32.exe iniciando la DLL de QBot

Después de un breve período, el cargador de malware inyectará la DLL de QBot en procesos legítimos de Windows para evadir la detección, como wermgr.exe o AtBroker.exe.

Microsoft conoce esta vulnerabilidad de día cero desde octubre, y ahora que otras campañas de malware la están explotando, esperamos ver el error solucionado como parte de las actualizaciones de seguridad del martes de parches de diciembre de 2022.

El software malicioso QBot

QBot, también conocido como Qakbot, es un malware de Windows desarrollado inicialmente como un troyano bancario, pero ha evolucionado hasta convertirse en un lanzador de malware.

Una vez cargado, el malware se ejecutará silenciosamente en segundo plano mientras roba correos electrónicos para usarlos en otros ataques de phishing o para instalar cargas adicionales como Brute Ratel,  Cobalt Strike y otro malware.

La instalación de los kits de herramientas posteriores a la explotación de Brute Ratel y Cobalt Strike suele dar lugar a ataques más disruptivos, como el robo de datos y los ataques de ransomware.

En el pasado, las operaciones de ransomware Egregor  y  Prolock  se asociaron con los distribuidores de QBot para obtener acceso a las redes corporativas. Más recientemente, se han visto ataques de ransomware Black Basta en las redes después de las infecciones de QBot.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.