เมื่อเร็ว ๆ นี้ นักวิจัยค้นพบช่องโหว่ Zero-day ที่ช่วยให้แฮ็กเกอร์สามารถรันมัลแวร์ (เปิดในแท็บใหม่) บนปลายทาง Windows เป้าหมาย (เปิดในแท็บใหม่) โดยไม่กระตุ้นการเตือนใด ๆ บนอุปกรณ์ของเหยื่อ
ช่องโหว่ที่ยังไม่ได้รับการแก้ไขช่วยให้ผู้คุกคามสามารถข้าม Mark of the Web ซึ่งเป็นคุณลักษณะของ Windows ที่แท็กไฟล์ที่ดาวน์โหลดจากตำแหน่งอินเทอร์เน็ตที่ไม่น่าเชื่อถือ
มัลแวร์ที่แพร่กระจายคือ Qbot (หรือที่เรียกว่า Quakbot) ซึ่งเป็นโทรจันธนาคารที่เก่าแก่และเป็นที่รู้จัก แต่ก็ยังเป็นภัยคุกคามที่สำคัญต่อผู้ที่ตกเป็นเหยื่อ
เรียกใช้ไฟล์ ISO
การกระจายเริ่มต้นด้วยอีเมลฟิชชิ่งซึ่งมีลิงก์ไปยังไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่าน ในทางกลับกัน ไฟล์นี้ประกอบด้วยไฟล์อิมเมจของดิสก์ ไม่ว่าจะเป็นไฟล์ .IMG หรือ .ISO ซึ่งถ้าติดตั้งแล้ว จะแสดงไฟล์ JavaScript แยกต่างหากที่มีลายเซ็นผิดรูปแบบ ไฟล์ข้อความ และโฟลเดอร์ที่มี .dll ไฟล์ JavaScript มีสคริปต์ VB ที่อ่านเนื้อหาของไฟล์ข้อความ ซึ่งทริกเกอร์การดำเนินการของไฟล์ .DLL
เนื่องจาก Windows ไม่ได้ติดแท็กอิมเมจ ISO ด้วยแฟล็ก Mark of the Web อย่างถูกต้อง จึงได้รับอนุญาตให้เปิดใช้งานโดยไม่มีการเตือนล่วงหน้า อันที่จริงแล้ว บนอุปกรณ์ที่ใช้ Windows 10 หรือใหม่กว่า เพียงดับเบิลคลิกไฟล์อิมเมจของดิสก์ ก็จะต่อเชื่อมไฟล์เป็นอักษรระบุไดรฟ์ใหม่โดยอัตโนมัติ
นี่ไม่ใช่ครั้งแรกที่แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่รอบฟีเจอร์ Mark of the Web เมื่อเร็ว ๆ นี้ มีการสังเกตว่าผู้คุกคามใช้วิธีเดียวกันนี้ในการเผยแพร่มัลแวร์เรียกค่าไถ่ Magniber BleepingComputer กล่าว เตือนเราถึงรายงานล่าสุดจาก HP ที่เปิดเผยแคมเปญดังกล่าว
ในความเป็นจริง มีการใช้คีย์ที่มีรูปแบบไม่ถูกต้องเหมือนกันทั้งในแคมเปญนี้และแคมเปญ Magniber โพสต์เปิดเผย
เห็นได้ชัดว่า Microsoft ได้รับทราบข้อบกพร่องนี้ตั้งแต่เดือนตุลาคม 2022 เป็นอย่างน้อย แต่ยังไม่ได้ออกแพตช์ แต่เนื่องจากขณะนี้มีการสังเกตว่ามีการใช้แพตช์อย่างแพร่หลาย จึงปลอดภัยที่จะสันนิษฐานว่าเราจะเห็นแพตช์ เป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนธันวาคมที่กำลังจะมาถึง
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)
