البرمجيات الخبيثة الموزعة من خلال الثغرة هي Qbot ، وتستهدف القطاع المصرفي
اكتشف باحثو الأمن مؤخرًا ثغرة خطيرة تسمح للقراصنة بتشغيل برامج ضارة على أجهزة الكمبيوتر التي تعمل بنظام Windows دون أن تطلق الأجهزة المستهدفة أي نوع من الإنذارات.
تسمح الثغرة الأمنية ، التي لم يتم تصحيحها بعد ، للمتسللين بتجاوز "علامة الويب" ، وهي ميزة في Windows تقوم بتصنيف الملفات التي تم تنزيلها من مواقع الويب غير الموثوق بها.
البرمجيات الخبيثة الموزعة من خلال الثغرة الأمنية هي Qbot ، والتي تنتمي إلى فئة برامج حصان طروادة.
إنها برمجيات تستهدف القطاع المصرفي ، وعلى الرغم من أنها قديمة ومعروفة ، إلا أنها لا تزال تشكل تهديدًا كبيرًا للضحايا.
يوضح باحثو الأمن أن توزيع البرامج الضارة ، المعروفة أيضًا باسم "Quakbot" ، يبدأ برسالة بريد إلكتروني تصيدية تحتوي على رابط لأرشيف ZIP محمي بكلمة مرور.
يحتوي أرشيف ZIP على ملف صورة قرص ISO أو IMG يعرض ، عند تنزيله ، ملف JavaScript مستقل بتوقيعات مشوهة وملف نصي ومجلد بملف DLL.
يقوم ملف javascript بتحميل برنامج نصي VB يقرأ محتويات الملف النصي ، والذي يقوم بعد ذلك بتشغيل ملف DLL.
نظرًا لأن Microsoft Windows لم يقم بتسمية ملف صورة قرص ISO بشكل صحيح باستخدام Mark of the Web ، فقد سمح بتشغيل البرنامج دون أي تحذيرات.
في أجهزة Windows 10 أو Windows 11 ، سيؤدي النقر المزدوج فوق ملف صورة قرص إلى تحميل الملف تلقائيًا كحرف محرك أقراص جديد.
يشار إلى أن هذه ليست المرة الأولى التي يسيء فيها المتسللون استخدام الثغرات الأمنية المحيطة بميزة Mark of the Web ، فقد لوحظ مؤخرًا أن متسللين نشروا طريقة مماثلة لتوزيع Magniber ransomware ، وفقًا لـ BleepingComputer ، بالإضافة إلى تقرير HP حديث اكتشف الحملة.
وقد لوحظ أيضًا أنه تم استخدام نفس المفتاح المشوه في كل من هذه الحملة وحملة Magniber.
يُعتقد أن Microsoft قد علمت بالثغرة الأمنية منذ أكتوبر الماضي ، لكنها لم تصدر تصحيحًا لها ، ولكن نظرًا لأن الشركة تدرك أن الثغرة قد تم استغلالها بالفعل ، فمن المتوقع أنها ستصدر تصحيحًا لها في تحديث التصحيح الثلاثاء ديسمبر المقبل.
