Les chercheurs en sécurité ont récemment découvert une vulnérabilité critique qui permet aux pirates d’exécuter des logiciels malveillants sur des PC Windows sans que les appareils ciblés ne déclenchent une quelconque alarme.

La vulnérabilité, qui n’a pas encore été corrigée, permet aux pirates de contourner Mark of the Web, une fonctionnalité Windows qui étiquette les fichiers téléchargés à partir de sites Web non fiables.

Le malware distribué via la vulnérabilité est Qbot, qui appartient à la catégorie des chevaux de Troie, un logiciel ciblant le secteur bancaire, et bien qu’il soit ancien et bien connu, il représente toujours une grande menace pour les victimes.

Lire aussi : Selon un rapport, la majorité des logiciels malveillants ciblant macOS proviennent d’une seule application

C’est quoi le nouveau logiciel malveillant Qbot ?

Les chercheurs en sécurité expliquent que la distribution du logiciel malveillant, également connu sous le nom de Quakbot, commence par un e-mail de phishing contenant un lien vers une archive ZIP protégée par un mot de passe.

L’archive ZIP contient un fichier d’image de disque ISO ou IMG qui, une fois téléchargé, affiche un fichier JavaScript autonome avec des signatures tronquées, un fichier texte et un dossier avec un fichier DLL. Le fichier javascript charge un script VB qui lit le contenu du fichier texte, qui exécute ensuite le fichier DLL.

Étant donné que le système Windows de Microsoft n’a pas correctement nommé le fichier d’image disque ISO avec Mark of the Web, il a permis au logiciel de s’exécuter sans aucun avertissement. Sur les appareils Windows 10 ou Windows 11, un double-clic sur un fichier d’image disque montera automatiquement le fichier en tant que nouvelle lettre de lecteur.

Attention à cette vulnérabilité répétitive :

Il est à noter que ce n’est pas la première fois que des pirates abusent des vulnérabilités entourant la fonction Mark of the Web, récemment, il a été observé que des pirates ont publié une méthode similaire pour distribuer le rançongiciel Magniber, selon BleepingComputer, en plus de un récent rapport HP qui a découvert la campagne. Il a également été noté que la même clé déformée a été utilisée à la fois dans cette campagne et dans la campagne Magniber.

Lire aussi : Cyber sécurité : Une vulnérabilité de sécurité très dangereuse cible l’iPhone et l’iPad

On pense que Microsoft était au courant de la vulnérabilité depuis octobre dernier, mais n’a pas publié de correctif, mais étant donné que la société se rend compte que la vulnérabilité est réellement exploitée. On s’attend à ce qu’elle publie un correctif dans le Patch Mise à jour du mardi pour décembre prochain.