Cyberkriminelle haben einen Weg gefunden, wie sie ohne die bekannten Sicherheitshinweise Schadcode über manipulierte E-Mail-Anhänge auf das System ihrer Opfer bekommen. Ausgenutzt wird dabei eine Zero-Day-Schwachstelle in Windows.
Das geht aus einem Bericht des Online-Magazins Bleeping Computer hervor. Die Sicherheitsforscher von Trend Micro hatten übrigens vor rund einem Monat schon über ein ähnliches Phänomen berichtet. Microsoft hatte dann zum Patch-Day November eine erste Schwachstelle bei den Signierungen behoben.
Dabei wurden jetzt Angriffe über Phishing-E-Mails bekannt, die eine Windows-Schwachstelle ausnutzen, um die Qbot-Malware zu verbreiten, ohne dass die sogenannte "Mark of the Web"-Sicherheitswarnung angezeigt wird.
Diese Warnhinweise sieht man normalerweise, wenn Dateien von einem nicht vertrauenswürdigen Ort wie dem Internet oder einem E-Mail-Anhang heruntergeladen werden. Windows fügt dieses spezielle Attribut Mark of the Web (MotW) dann einfach hinzu.
MotW-Attribut hilft bei der Entscheidung, Dateien auszuführen
Wenn ein Nutzer versucht, eine Datei mit einem MotW-Attribut zu öffnen, zeigt Windows im Normalfall eine Sicherheitswarnung an und fragt, ob der Benutzer die Datei wirklich öffnen möchte.
"Dateien aus dem Internet können zwar nützlich sein, aber dieser Dateityp kann Ihren Computer möglicherweise beschädigen. Wenn Sie der Quelle nicht vertrauen, öffnen Sie diese Software nicht", lautet die Warnung von Windows. Durch die Zero-Day-Lücke wird nun das MoTW-Attribut unterbunden. Windows lässt die Ausführung des Programms dann automatisch zu - so kann die Malware unbehelligt auf das Opfersystem gelangen. In den jüngst entdeckten Qbot-Kampagnen verteilen die Angreifer JS-Dateien, die mit fehlerhaften Signaturen signiert sind.
In den Phishing-E-Mails ist dabei ein Link zu einem angeblichen persönlichen Dokument inklusive eines Passwortes enthalten. Die Opfer werden angewiesen, das Dokument mithilfe des Passwortes zu öffnen. Dabei wird dann allerdings eine Datei geöffnet und ausgeführt, ohne jegliche Sicherheitswarnung.
Im Anschluss beginnt die Malware dann ihr böses Spiel: Nach kurzer Zeit injiziert der Malware-Loader die Qbot-DLL in legitime Windows-Prozesse, um die Erkennung zu umgehen. Microsoft weiß seit Oktober von dieser Zero-Day-Schwachstelle. Es ist noch unbekannt, ob zum Dezember Patch-Day die Behebung erfolgt.
Quelle; winfuture
Das geht aus einem Bericht des Online-Magazins Bleeping Computer hervor. Die Sicherheitsforscher von Trend Micro hatten übrigens vor rund einem Monat schon über ein ähnliches Phänomen berichtet. Microsoft hatte dann zum Patch-Day November eine erste Schwachstelle bei den Signierungen behoben.
Dabei wurden jetzt Angriffe über Phishing-E-Mails bekannt, die eine Windows-Schwachstelle ausnutzen, um die Qbot-Malware zu verbreiten, ohne dass die sogenannte "Mark of the Web"-Sicherheitswarnung angezeigt wird.
Diese Warnhinweise sieht man normalerweise, wenn Dateien von einem nicht vertrauenswürdigen Ort wie dem Internet oder einem E-Mail-Anhang heruntergeladen werden. Windows fügt dieses spezielle Attribut Mark of the Web (MotW) dann einfach hinzu.
MotW-Attribut hilft bei der Entscheidung, Dateien auszuführen
Wenn ein Nutzer versucht, eine Datei mit einem MotW-Attribut zu öffnen, zeigt Windows im Normalfall eine Sicherheitswarnung an und fragt, ob der Benutzer die Datei wirklich öffnen möchte.
"Dateien aus dem Internet können zwar nützlich sein, aber dieser Dateityp kann Ihren Computer möglicherweise beschädigen. Wenn Sie der Quelle nicht vertrauen, öffnen Sie diese Software nicht", lautet die Warnung von Windows. Durch die Zero-Day-Lücke wird nun das MoTW-Attribut unterbunden. Windows lässt die Ausführung des Programms dann automatisch zu - so kann die Malware unbehelligt auf das Opfersystem gelangen. In den jüngst entdeckten Qbot-Kampagnen verteilen die Angreifer JS-Dateien, die mit fehlerhaften Signaturen signiert sind.
In den Phishing-E-Mails ist dabei ein Link zu einem angeblichen persönlichen Dokument inklusive eines Passwortes enthalten. Die Opfer werden angewiesen, das Dokument mithilfe des Passwortes zu öffnen. Dabei wird dann allerdings eine Datei geöffnet und ausgeführt, ohne jegliche Sicherheitswarnung.
Im Anschluss beginnt die Malware dann ihr böses Spiel: Nach kurzer Zeit injiziert der Malware-Loader die Qbot-DLL in legitime Windows-Prozesse, um die Erkennung zu umgehen. Microsoft weiß seit Oktober von dieser Zero-Day-Schwachstelle. Es ist noch unbekannt, ob zum Dezember Patch-Day die Behebung erfolgt.
Quelle; winfuture
