Serangan phishing baru menggunakan kerentanan Windows zero-day untuk menjatuhkan malware Qbot tanpa menampilkan peringatan keamanan Mark of the Web.
Saat file diunduh dari lokasi jauh yang tidak tepercaya, seperti Internet atau lampiran email, Windows menambahkan atribut khusus ke file yang disebut Mark of the Web.
Mark of the Web (MoTW) ini adalah aliran data alternatif yang berisi informasi tentang file, seperti zona keamanan URL asal file, perujuknya, dan URL unduhannya.
Saat pengguna mencoba membuka file dengan atribut MoTW, Windows akan menampilkan peringatan keamanan yang menanyakan apakah mereka yakin ingin membuka file tersebut.
“Sementara file dari Internet dapat bermanfaat, jenis file ini berpotensi membahayakan komputer Anda. Jika Anda tidak mempercayai sumbernya, jangan buka perangkat lunak ini,” bunyi peringatan dari Windows.
Bulan lalu, tim intelijen ancaman HP melaporkan bahwa serangan phishing mendistribusikan ransomware Magniber menggunakan file JavaScript.
File JavaScript ini tidak sama dengan yang digunakan di situs web tetapi merupakan file mandiri dengan ekstensi ‘.JS’ yang dijalankan menggunakan Windows Script Host (wscript.exe).
Setelah menganalisis file, Will Dormann, analis kerentanan senior di ANALYGENCE, menemukan bahwa pelaku ancaman menggunakan kerentanan zero-day Windows baru yang mencegah peringatan keamanan Mark of the Web ditampilkan.
Untuk mengeksploitasi kerentanan ini, file JS (atau jenis file lainnya) dapat ditandatangani menggunakan blok tanda tangan yang disandikan base64 tertanam, seperti yang dijelaskan dalam artikel dukungan Microsoft ini.
Selengkapnya: Bleeping Computer
