Ciberdelincuentes están usando un día cero para evadir la detección e instalar malware en Windows

22 noviembre, 2022

Los nuevos ataques de phishing están utilizando una vulnerabilidad de día cero de Windows para instalar el malware Qbot sin mostrar las advertencias de seguridad de Mark of the Web (MoTW).

Cuando los archivos se descargan desde una ubicación remota que no es de confianza, como Internet o un archivo adjunto de correo electrónico, Windows agrega un atributo especial al archivo llamado Mark of the Web.

Este indicador (MoTW) es un flujo de datos alternativo. MoTW contiene información sobre el archivo, como la zona de seguridad de URL de la que se origina el archivo, su referencia y su URL de descarga.

Cuando un usuario intenta abrir un archivo con un atributo MoTW, Windows muestra una advertencia de seguridad que le preguntará si está seguro de que desea abrir el archivo.

“Si bien los archivos de Internet pueden ser útiles, este tipo de archivo puede dañar potencialmente tu computadora. Si no confías en la fuente, no abras este software”.
Advertencia de Windows.

**Advertencia de seguridad de Windows Mark of the Web**

El mes pasado, el equipo de inteligencia de amenazas de HP informó que un ataque de phishing estaba distribuyendo el ransomware Magniber utilizando archivos JavaScript.

Estos archivos JavaScript no son los mismos que los que se usan en los sitios web. No obstante, son archivos independientes con la extensión ‘.JS’ que se ejecutan con Windows Script Host (wscript.exe).

Aprovechando una vulnerabilidad de día cero

Después de analizar los archivos, Will Dormann, analista senior de vulnerabilidades de ANALYGENCE, descubrió que los atacantes estaban usando una nueva vulnerabilidad de día cero de Windows. Esta vulnerabilidad impedía que se mostraran las advertencias de seguridad de Mark of the Web.

Para aprovechar esta vulnerabilidad, se podría firmar un archivo JS (u otros tipos de archivos) mediante un bloque de firma codificado en base64 incrustado. Tal como se describe en este artículo de soporte de Microsoft.

**Archivo JavaScript utilizado para instalar el ransomware Magniber**

Sin embargo, cuando se abre un archivo malicioso con una de estas firmas malformadas, en lugar de que Microsoft SmartScreen lo marque y muestre la advertencia de seguridad de MoTW, Windows automáticamente permite que se ejecute el programa.

La campaña de malware QBot utiliza el día cero de Windows

Las recientes campañas de phishing de malware de QBot han distribuido archivos ZIP protegidos con contraseña que contienen imágenes ISO. Estas imágenes ISO contienen un acceso directo de Windows y archivos DLL para instalar el malware.

Las imágenes ISO se usaban para distribuir el malware, ya que Windows no propagaba correctamente Mark of the Web a los archivos que contenían, lo que permitía que los archivos contenidos pasaran por alto las advertencias de seguridad de Windows.

Como parte del martes de parches de noviembre de 2022 de Microsoft, se lanzaron actualizaciones de seguridad que corrigieron esta vulnerabilidad. Esto provocó que el indicador MoTW se propagara a todos los archivos dentro de una imagen ISO abierta, solucionando así esta evasión de seguridad.

No obstante, en una nueva campaña de phishing de QBot descubierta por el investigador de seguridad ProxyLife, los ciberdelincuentes cambiaron a la vulnerabilidad de día cero Windows Mark of the Web al distribuir archivos JS firmados con firmas malformadas.

Esta nueva campaña de phishing comienza con un correo electrónico que incluye un enlace a un supuesto documento y una contraseña para el archivo.

**Correo electrónico de phishing con un enlace para descargar un archivo malicioso**

Cuando se hace clic en el enlace, se descarga un archivo ZIP protegido con contraseña que contiene otro archivo zip, seguido de un archivo IMG.

En Windows 10 y versiones posteriores, cuando haces doble clic en un archivo de imagen de disco, como un IMG o ISO, el sistema operativo lo monta automáticamente como una nueva letra de unidad.

Este archivo IMG contiene un archivo .js (‘WW.js‘), un archivo de texto (‘data.txt‘) y otra carpeta que contiene un archivo DLL renombrado como archivo .tmp (‘resemblance.tmp‘), como se ilustra a continuación. Cabe señalar que los nombres de los archivos cambiarán por campaña, por lo que no deben considerarse estáticos.

Scripts

El archivo JS contiene un script VB que lee el archivo data.txt, que contiene la cadena ‘vR32‘, y agrega el contenido al parámetro del comando shellexecute para cargar el archivo DLL ‘port/semblance.tmp‘. En este correo electrónico en particular, el comando reconstruido es:

regSvR32 port\\resemblance.tmp

**Archivo JS con una firma mal formada para explotar el día cero de Windows**

Como el archivo JS se origina en Internet, iniciarlo en Windows mostraría una advertencia de seguridad de Mark of the Web.

Sin embargo, como puedes ver en la imagen del script JS anterior, está firmado con la misma clave con formato incorrecto que se usó en las campañas de ransomware Magniber. Esto para explotar la vulnerabilidad de día cero de Windows.

Esta firma mal formada permite que el script JS se ejecute y cargue el malware QBot sin mostrar ninguna advertencia de seguridad de Windows. Tal como se muestra en el proceso iniciado a continuación.

**Regsvr32.exe iniciando la DLL de QBot**

Después de un breve período, el cargador de malware inyecta la DLL de QBot en procesos legítimos de Windows para evadir la detección. Por ejemplo, wermgr.exe o AtBroker.exe.

Microsoft conoce esta vulnerabilidad de día cero desde octubre, y ahora que otras campañas de malware la están explotando, esperamos ver la vulnerabilidad solucionada como parte de las actualizaciones de seguridad del martes de parches de diciembre de 2022.

El software malicioso QBot

QBot, también conocido como Qakbot, es un malware de Windows desarrollado inicialmente como un troyano bancario. Sin embargo, ha evolucionado hasta convertirse en un instalador de malware.

Una vez cargado, el malware se ejecuta silenciosamente en segundo plano mientras roba correos electrónicos para usarlos en otros ataques de phishing o para instalar payloads como Brute Ratel, Cobalt Strike y otro malware.

La instalación de los kits de herramientas posteriores a la explotación de Brute Ratel y Cobalt Strike suele dar lugar a ataques más disruptivos. Por ejemplo, el robo de datos y los ataques de ransomware.

En el pasado, las operaciones de ransomware Egregor y Prolock se asociaron con los distribuidores de QBot para obtener acceso a las redes corporativas. Más recientemente, hemos visto ataques de ransomware Black Basta en las redes después de las infecciones de QBot.