Чтобы внедрить в устройство потенциальной жертвы вредоносную программу под названием Qbot, мошенники задействуют 0-day, которая была выявлена в Windows. Это делается, чтобы обойти MoTW. Данная функция является защитной. Ее предназначение заключается в маркировке файлов, которые грузятся с интернета. Таким путем вирус оказывается внутри того или иного пользовательского устройства. Windows неизвестным звуковым фрагментам добавляет спецатрибут, а это может говорить об их вероятной опасности.
При попытке загрузки подобного файла функция человека поставит в известность о том, что этот файл неизвестен и может быть небезопасным.
Киберпреступники QBot распространяют в запароленных архивах ZIP, в которых находятся образы ISO. В них специалисты обнаружили иконку Windows, а также DLL, чтобы установить в систему вирусное ПО.
Исследователь ProxyLife (ник) пояснил, что в данном случае хакеры задействуют файлы JavaScript со специальными подписями. На почту жертве приходит письмо, содержащее ссылку на определенный документ и доступ к архиву.
После этого на ПК грузится уже образ с data.txt, WW.js и resemblance.tmp. Файловые имена меняются.
В файле JS есть скрипт. Его предназначение заключается в чтении data.txt. В нем имеется строка с параметрами shellexecute. А так как файлы обходят защитную функцию, у человека подозрений не возникает.
В первых числах ноября был выпущен неофициальное и совершенно бесплатное исправление для указанной уязвимости.