Η λειτουργία κακόβουλου λογισμικού QBot έχει αρχίσει να καταχράται ένα ελάττωμα παραβίασης DLL στο πρόγραμμα WordPad των Windows 10 για να μολύνει υπολογιστές, χρησιμοποιώντας το νόμιμο πρόγραμμα για να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας.
Ένα DLL είναι ένα αρχείο βιβλιοθήκης που περιέχει συναρτήσεις που μπορούν να χρησιμοποιηθούν από περισσότερα από ένα προγράμματα ταυτόχρονα. Όταν εκκινείται μια εφαρμογή, θα επιχειρήσει να φορτώσει τυχόν απαιτούμενα DLL.
Αυτό το κάνει αναζητώντας σε συγκεκριμένους φακέλους των Windows για το DLL και, όταν βρεθεί, το φορτώνει. Ωστόσο, οι εφαρμογές των Windows θα δώσουν προτεραιότητα στα DLL στον ίδιο φάκελο με το εκτελέσιμο, φορτώνοντάς τα πριν από όλα τα άλλα.
Η πειρατεία DLL είναι όταν ένας παράγοντας απειλής δημιουργεί ένα κακόβουλο DLL με το ίδιο όνομα με ένα νόμιμο και το τοποθετεί στην αρχική διαδρομή αναζήτησης των Windows, συνήθως στον ίδιο φάκελο με το εκτελέσιμο αρχείο. Όταν εκκινηθεί αυτό το εκτελέσιμο, θα φορτώσει το DLL κακόβουλου λογισμικού και όχι το νόμιμο και θα εκτελέσει τυχόν κακόβουλες εντολές μέσα σε αυτό.
Το QBot καταχράται το ελάττωμα της πειρατείας του WordPad DLL
Το QBot, γνωστό και ως Qakbot, είναι ένα κακόβουλο λογισμικό των Windows που ξεκίνησε αρχικά ως τραπεζικό trojan αλλά εξελίχθηκε σε dropper malware. Συμμορίες ransomware, συμπεριλαμβανομένων των Black Basta, Egregor και Prolock, έχουν συνεργαστεί με τη λειτουργία κακόβουλου λογισμικού για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα για τη διεξαγωγή επιθέσεων εκβιασμού.
Ερευνητής ασφάλειας και μέλος του Cryptolaemus ProxyLife είπε στο BleepingComputer ότι α νέα καμπάνια phishing QBot άρχισε να κάνει κατάχρηση μιας ευπάθειας κατά της πειρατείας DLL στο εκτελέσιμο Windows 10 WordPad, write.exe.
Ενώ το BleepingComputer δεν έχει δει τα αρχικά μηνύματα ηλεκτρονικού ψαρέματος, η ProxyLife μας είπε ότι περιέχουν έναν σύνδεσμο για τη λήψη ενός αρχείου.
Όταν ένα άτομο κάνει κλικ στον σύνδεσμο, θα γίνει λήψη ενός τυχαίου αρχείου ZIP από έναν απομακρυσμένο κεντρικό υπολογιστή.
Αυτό το αρχείο ZIP περιέχει δύο αρχεία: document.exe (το Windows 10 WordPad εκτελέσιμο) και ένα αρχείο DLL με το όνομα edputil.dll (χρησιμοποιείται για την πειρατεία DLL).
Πηγή: BleepingComputer
Όπως μπορείτε να δείτε από τις ιδιότητες του αρχείου document.exe, είναι απλώς ένα μετονομασμένο αντίγραφο του νόμιμου εκτελέσιμου Write.exe που χρησιμοποιείται για την εκκίνηση του προγράμματος επεξεργασίας εγγράφων WordPad των Windows 10.
Πηγή: BleepingComputer
Όταν εκκινείται το document.exe, επιχειρεί αυτόματα να φορτώσει ένα νόμιμο αρχείο DLL που ονομάζεται edputil.dll, το οποίο βρίσκεται συνήθως στο φάκελο C:\Windows\System32.
Ωστόσο, όταν το εκτελέσιμο αρχείο επιχειρεί να φορτώσει το edputil.dll, δεν το ελέγχει για αυτό σε συγκεκριμένο φάκελο και θα φορτώσει οποιοδήποτε DLL με το ίδιο όνομα βρίσκεται στον ίδιο φάκελο με το εκτελέσιμο αρχείο document.exe.
Αυτό επιτρέπει στους φορείς απειλών να εκτελούν εισβολή DLL δημιουργώντας μια κακόβουλη έκδοση του DLL edputil.dll και αποθηκεύοντάς το στον ίδιο φάκελο με το document.exe, ώστε να φορτωθεί αντ' αυτού.
Μόλις φορτωθεί το DLL, το ProxyLife είπε στο BleepingComputer ότι το κακόβουλο λογισμικό χρησιμοποιεί το C:\Windows\system32\curl.exe για τη λήψη ενός DLL καμουφλαρισμένου ως αρχείου PNG από έναν απομακρυσμένο κεντρικό υπολογιστή.
Αυτό το αρχείο PNG (στην πραγματικότητα ένα DLL) εκτελείται στη συνέχεια χρησιμοποιώντας το rundll32.exe με την ακόλουθη εντολή:
rundll32 c:\users\public\default.png,printΤο QBot θα εκτελείται πλέον αθόρυβα στο παρασκήνιο, κλέβοντας μηνύματα ηλεκτρονικού ταχυδρομείου για χρήση σε περαιτέρω επιθέσεις phishing και τελικά κατεβάζοντας άλλα ωφέλιμα φορτία, όπως το Cobalt Strike (ένα εργαλείο απειλής μετά την εκμετάλλευση που χρησιμοποιούν οι ηθοποιοί για να αποκτήσουν αρχική πρόσβαση στη μολυσμένη συσκευή).
Αυτή η συσκευή θα χρησιμοποιηθεί στη συνέχεια ως βάση για να εξαπλωθεί πλευρικά σε όλο το δίκτυο, οδηγώντας συνήθως σε κλοπή εταιρικών δεδομένων και επιθέσεις ransomware.
Με την εγκατάσταση του QBot μέσω ενός αξιόπιστου προγράμματος όπως το Windows 10 WordPad (write.exe), οι φορείς απειλών ελπίζουν ότι το λογισμικό ασφαλείας δεν θα επισημάνει το κακόβουλο λογισμικό ως κακόβουλο.
Ωστόσο, η χρήση του curl.exe σημαίνει ότι αυτή η μέθοδος μόλυνσης θα λειτουργεί μόνο σε Windows 10 και νεότερες εκδόσεις, καθώς οι προηγούμενες εκδόσεις του λειτουργικού συστήματος δεν περιλαμβάνουν το πρόγραμμα Curl.
Ως επί το πλείστον, αυτό δεν θα πρέπει να αποτελεί πρόβλημα, καθώς οι παλαιότερες εκδόσεις των Windows έχουν καταργηθεί σταδιακά μετά το τέλος της υποστήριξης.
Αυτή τη στιγμή, η λειτουργία QBot έχει προχωρήσει σε άλλες μεθόδους μόλυνσης τις τελευταίες εβδομάδες, αλλά δεν είναι ασυνήθιστο να μεταβαίνουν σε προηγούμενες τακτικές σε μεταγενέστερες καμπάνιες.
