Há uma vulnerabilidade zero-day sobre o Windows que está a ser explorada numa nova campanha de phishing para espalhar iniciativas maliciosas. A intenção dos hackers é que os utilizadores possam instalar o malware Qbot nos seus sistemas.
Por norma, quando os utilizadores descarregam um conteúdo desconhecido da internet, o Windows marca esse ficheiro com uma configuração conhecida como “Mark of the Web (MoTW)”. Este pequeno atributo indica ao Windows que o ficheiro foi descarregado de uma fonte externa, e, portanto, deve ser considerado como “desconhecido”. Esta operação é a que resulta na janela que tantas vezes vemos a questionar se se estamos mesmo seguros que o ficheiro seja aberto, porque pode conter malware.
No entanto, investigadores de segurança da empresa Analygence revelaram recentemente terem descoberto uma nova campanha de malware, onde os atacantes conseguem contornar este sistema explorando uma falha zero-day do Windows. Na prática isto significa que os ficheiros que podem conter malware são descarregados sem que nos apareça qualquer tipo de alerta.
“Embora os arquivos da internet possam ser úteis, esse tipo de arquivo pode danificar o seu computador. Se não confia na fonte, não abra este software”, diz o aviso do Windows.
A campanha usa ficheiros javascript para distribuir o conteúdo malicioso, sendo estes ficheiros executados diretamente no sistema pelo Windows Script Host (wscript.exe). Esta nova campanha de phishing começa com um e-mail que inclui um link para um suposto documento e uma palavra-passe para abrir um ficheiro.
A Microsoft está já a procurar corrigir este problema com a recente atualização do Patch Tuesday, embora a principal recomendação ainda seja que os utilizadores tenham cuidado sobre onde descarregam os ficheiros e a origem dos mesmos.
De recordar que no mês passado, a equipa de inteligência de ameaças da HP informou que um ataque de phishing estava a distribuir o ransomware Magniber usando ficheiros JavaScript.
Fonte: Bleeping Computer