Eine kritische Zero-Day-Schwachstelle in Windows namens Follina, die noch immer auf eine offizielle Microsoft-Lösung wartet, wird bei Phishing-Angriffen ausgenutzt, um Empfänger mit Qbot-Malware zu infizieren. Wie BleepingComputer berichtet, konnte der Cybersicherheitsanbieter Proofpoint mehrere Fälle nachweisen, in denen Hacker Follina aktiv ausgenutzt haben.
Mehrere EU- und US-Behörden wurden in der vergangenen Woche zum Ziel einer Fangkampagne: Unter dem Vorwand einer Gehaltserhöhung sollten Mitarbeiter eine begangene RTF-Datei öffnen, die dann über die Follina-Schwachstelle diverse Daten und Passwörter stehlen sollte.
Wie Bleeping Computer fortsetzt, nutzen Kriminelle die Schwachstelle aus, um den Banking-Trojaner Qbot zu verbreiten. Auch hier dient Phishing als Einfallstor. Anstelle eines RTF-Dokuments wird in diesem Fall jedoch eine docx-Datei verwendet.
Angreifer verwenden gekaperte E-Mail-Threads mit HTML-Anhängen, die eine ZIP-Datei mit IMG-Dateien herunterladen. In dieser IMG-Datei findet die Zielperson schließlich eine DLL- und Word-Datei sowie einen Link.
Während die Verknüpfung direkt die Qbot-DLL-Datei lädt, die bereits im IMG enthalten ist, ruft das leere .docx-Dokument einen externen Server auf, um eine HTML-Datei zu laden, die die Schwachstelle von Follina ausnutzt, um den PowerShell-Code zu laden, der einen anderen Qbot herunterlädt und ausführt DLL.
Ein offizieller Patch für die Sicherheitslücke ist noch nicht verfügbar, aber es gibt eine inoffizielle Lösung, lesen Sie hier mehr.
Um mehr über Cyberkriminalität und Cybersicherheit zu erfahren, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Das Portal informiert täglich über aktuelle Bedrohungen und neue Abwehrstrategien.