PowerPoint se utiliza como senuelo para propagar malware

Los investigadores descubrieron recientemente una vulnerabilidad de día cero que permite a los piratas informáticos ejecutar malware (se abre en una pestaña nueva) en los puntos finales de Windows objetivo (se abre en una pestaña nueva) sin que los dispositivos de la víctima activen ninguna alarma.

La vulnerabilidad, que aún no ha sido reparada, permite a los actores de amenazas eludir Mark of the Web, una función de Windows que etiqueta los archivos descargados de ubicaciones de Internet que no son de confianza.

El malware distribuido es Qbot (también conocido como Quakbot), un troyano bancario antiguo y conocido, pero que aún representa una gran amenaza para las víctimas.

Ejecución de archivos ISO

La distribución comienza con un correo electrónico de phishing, que contiene un enlace a un archivo ZIP protegido con contraseña. Este, a su vez, contiene un archivo de imagen de disco, ya sea un archivo .IMG o .ISO que, si está montado, muestra un archivo JavaScript independiente con firmas mal formadas, un archivo de texto y una carpeta con un archivo .DLL. El archivo JavaScript contiene un script VB que lee el contenido del archivo de texto, lo que activa la ejecución del archivo .DLL.

Dado que Windows no etiquetó correctamente las imágenes ISO con las banderas Mark of the Web, se les permitió iniciar sin previo aviso. De hecho, en los dispositivos que ejecutan Windows 10 o posterior, simplemente hacer doble clic en un archivo de imagen de disco monta automáticamente el archivo como una nueva letra de unidad.

Esta no es la primera vez que los piratas informáticos explotan las vulnerabilidades que rodean la función Mark of the Web. Recientemente, se ha observado a los actores de amenazas implementando un método similar para distribuir el ransomware Magniber, dice BleepingComputer, recordándonos un informe reciente de HP que descubrió la campaña.

De hecho, se utilizó la misma clave mal formada tanto en esta campaña como en la campaña de Magniber, reveló la publicación.

Aparentemente, Microsoft ha estado al tanto de la falla desde al menos octubre de 2022, pero aún no ha lanzado un parche, pero dado que ahora se ha observado que se usa en la naturaleza, es seguro asumir que veremos un parche. como parte de la próxima actualización del martes de parches de diciembre.

Vía: BleepingComputer (se abre en una nueva pestaña)

Share This