MicrosoftWindows10和Windows11被曝零日漏洞,Qbot恶意软件在没有显示“NetworkMark”警告的情况下被投放后,Windows系统在名为“MarkoftheWeb”的文件中添加了一个特殊属性(简称MoTW)。近日,Windows系统被曝出一个零日漏洞,可以在不显示“网络标记”的情况下投放Qbot恶意软件。MoTW是一种补充数据流,包含URL安全区、引荐来源网址、下载URL等文件信息。当用户尝试打开具有MoTW属性的文件时,Windows会显示安全警告,询问他们是否确定要打开文件。警告将显示为:“虽然来自Internet的文件可能有用,但这种文件类型有可能危害您的计算机。如果您不信任来源,请不要打开此软件。”HPThreatIntelligence上个月报告称,黑客在其发现的网络钓鱼活动中以JavaScript文件的形式分发Magniber勒索软件。这些JavaScript文件与网站上使用的文件不同,而是使用Windows脚本宿主(wscript.exe)执行的带有“.JS”扩展名的独立文件。在分析文件后,ANALYGENCE的高级漏洞分析师WillDormann发现威胁参与者使用了一种新的Windows零日漏洞利用,使网络安全警告中的标志不可见。通过利用此漏洞,可以使用嵌入式base64编码的签名块对JS文件(或其他类型的文件)进行签名。用户打开恶意软件后,该程序不会被MicrosoftSmartScreen标记并显示MoTW安全警告,而是自动允许运行。此QBot恶意软件网络钓鱼活动分发包含ISO映像的受密码保护的ZIP文件。这些ISO映像包含用于安装恶意软件的Windows快捷方式和DLL。微软已在2022年11月补丁星期二活动日发布的累积更新中修复了该漏洞。
