資安廠商 ANALYGENCE 旗下的資安專家，近來發現一波利用 Windows 最新 0-day 漏洞來跳過 Windows 內建資安防護功能 Mark of the Web (MoTW)，進而在受害系統上植入 Qbot 惡意軟體的攻擊活動。

Mark of the Web 是 Windows 內建的資安防護機制之一，Windows 會針對從網路上下載的檔案，或是 Email 中的夾檔，建立額外的檔案屬性，包括檔案原始出處、推薦者與下載 URL 等資訊。用戶如欲開啟具有 MoTW 的檔案時，Windows 會額外顯示一個警告視窗，詢問用戶是否確實要開啟檔案。

資安專家在分析近期一波利用釣魚郵件散布 Magniber 勒贖軟體的攻擊行動時，發現了該駭侵者利用 Windows 一個新的 0-day 漏洞，防止用戶在開啟含有惡意程式碼的檔案時，看到 Windows 的 MoTW 提醒視窗。

該攻擊手法係利用一個在 Microsoft 支援文件中提到的 base64 編碼簽署區塊，來為惡意軟體的 JavaScript 程式碼檔案進行簽署；如此用戶在開啟惡意檔案時，Windows 就不會顯示 MoTW 警告訊息，而會直接開啟檔案。

資安專家也指出，近期的 QBot 惡意軟體釣魚攻擊，原本利用 ISO 檔格式來放置惡意軟體，這是因為 Windows 不會對 ISO 檔進行 MoTW 附加動作；但在 2022 年 11 月的 Patch Tuesday 中，Microsoft 修復了這個錯誤，因此駭侵者改使用上述最新的 0-day 漏洞來跳過 MoTW 機制。

據資安媒體 BleepingComputer 指出，Microsoft 在 10 月時已經得知該 0-day 漏洞的存在且遭到多場駭侵攻擊濫用的情形；預計 12 月的 Patch Tuesday 中將可針對此 0-day 漏洞進行修補。