Aplikacja WordPad dla systemu Windows 10 zawiera lukę umożliwiającą przejęcie biblioteki DLL, którą złośliwe oprogramowanie QBot zaczęło wykorzystywać do infekowania maszyn, unikając jednocześnie wykrycia przez produkty zabezpieczające.
DLL to plik biblioteki zawierający procedury, które mogą być wykorzystywane jednocześnie przez wiele programów. Podczas uruchamiania program podejmie próbę załadowania niezbędnych bibliotek DLL.
Robi to, przeglądając określone katalogi Windows w poszukiwaniu biblioteki DLL i ładując ją, gdy zostanie wykryta. Jednak biblioteki DLL w tej samej lokalizacji, co plik wykonywalny, zostaną załadowane jako pierwsze przez programy systemu Windows, mając pierwszeństwo przed wszystkimi innymi bibliotekami DLL.
Kiedy ugrupowanie cyberprzestępcze tworzy szkodliwą bibliotekę DLL o takiej samej nazwie jak prawidłowa i umieszcza ją we wczesnej ścieżce wyszukiwania systemu Windows, często w tej samej lokalizacji, co plik wykonywalny, proces ten nazywany jest przejmowaniem bibliotek DLL. Po uruchomieniu tego pliku wykonywalnego ładuje złośliwą bibliotekę DLL zamiast godnej zaufania i uruchamia wszelkie złośliwe instrukcje, które znajdzie w środku.
QBot Malware kradnie wiadomości e-mail w celu przeprowadzania ataków typu phishing
Oprogramowanie szpiegujące dla systemu Windows o nazwie QBot, czasami nazywane Qakbot, zaczęło się jako trojan bankowy, ale później przekształciło się w narzędzie do pobierania złośliwego oprogramowania. Z pomocą operacji szkodliwego oprogramowania gangi ransomware, w tym Black Basta, Egregor i Prolock, były w stanie najpierw penetrować sieci biznesowe i rozpocząć kampanie wyłudzeń.
ProxyLife, ekspert ds. bezpieczeństwa i członek Cryptolaemus, poinformował BleepingComputer, że nowa operacja phishingowa QBot rozpoczęła się z wykorzystaniem luki w zabezpieczeniach związanej z przejęciem biblioteki DLL w pliku wykonywalnym write.exe WordPad w systemie Windows 10.
Chociaż ProxyLife poinformowało nas, że początkowe e-maile phishingowe zawierają link do pobrania pliku, BleepingComputer nie otrzymał tych e-maili.
Losowo nazwane archiwum ZIP ze zdalnej witryny zostanie pobrane, gdy ktoś kliknie łącze.
Dokument aplikacji Windows 10 WordPad.exe i plik DLL edputil.dll (używany do przechwytywania DLL) są zawarte w tym pakiecie ZIP.
Oryginalny plik wykonywalny Write.exe używany do uruchamiania edytora dokumentów WordPad systemu Windows 10 jest zasadniczo duplikatem o zmienionej nazwie dokument.exe plik, jak widać z jego atrybutów.
Oryginalny plik DLL o nazwie edputil.dll, który zwykle znajduje się w C:WindowsSystem32 folder, jest ładowany natychmiast po uruchomieniu document.exe.
Jednak plik wykonywalny załaduje dowolny DLL o tej samej nazwie znajdującej się w tej samej lokalizacji, co plik wykonywalny document.exe, gdy próbuje załadować plik edputil.dll zamiast szukać go w określonym folderze.
Dzięki utworzeniu złośliwej biblioteki DLL edputil.dll i przechowywaniu jej w tej samej lokalizacji, co document.exe, cyberprzestępcy są teraz w stanie przejąć kontrolę nad bibliotekami DLL.
Firma ProxyLife poinformowała BleepingComputer, że po załadowaniu biblioteki DLL złośliwe oprogramowanie wykorzystuje C:Windowssystem32curl.exe aby pobrać bibliotekę DLL przebraną za plik PNG ze zdalnego serwera.
Następujące polecenie jest następnie wykonywane przez rundll32.exe na tym pliku PNG (który w rzeczywistości jest biblioteką DLL):
rundll32 c:userspublicdefault.png,print
Gdy Cobalt Strike (zestaw narzędzi poeksploatacyjnych wykorzystywany przez cyberprzestępców w celu uzyskania dostępu do zaatakowanego urządzenia) i inne ładunki są ostatecznie pobierane, QBot będzie nadal działać po cichu w tle, przechwytując wiadomości e-mail do wykorzystania w innych atakach typu phishing.
Po wykorzystaniu tego urządzenia jako bazy nastąpi infiltracja sieci, co często skutkuje atakami ransomware i kradzieżą danych biznesowych.
Aktorzy zagrożeń mają nadzieję, że instalując QBot za pośrednictwem renomowanego narzędzia, takiego jak Windows 10 WordPad (write.exe), produkty zabezpieczające nie identyfikują wirusa jako szkodliwego.
Ponieważ jednak poprzednie wersje systemu operacyjnego nie miały oprogramowania Curl, użycie programu curl.exe sugeruje, że ta technika infekcji będzie działać tylko na Windows 10 i nowsze.
Ponieważ poprzednie wersje systemu Windows zostały wycofane po utracie wsparcia, generalnie nie powinno to stanowić problemu. Obecnie w ostatnich tygodniach operacja QBot przeszła na inne techniki infekcji, chociaż normalnym zjawiskiem jest powrót do wcześniejszych strategii w kolejnych kampaniach.
Jeśli interesuje Cię bezpieczeństwo, sugerujemy sprawdzenie ataków phishingowych na Twitterze: Nieoczekiwane efekty uboczne opłaty weryfikacyjnej lub Battle net down Wyjaśnienie ataku Battlenet DDoS (11 października).
Source: Złośliwe oprogramowanie QBot wykorzystuje mechanizm ładowania DLL programu WordPad
