QBot использует уязвимость перехвата DLL WordPad

QBot использует уязвимость перехвата DLL WordPad. Фото: СС0

QBot распространяют несколько команд вымогателей, в том числе Black Basta, Egregor и Prolock.

Исследователь безопасности и участник Cryptolaemus ProxyLife сообщил BleepingComputer, что в новой серии фишинговых атак QBot начал использовать уязвимость захвата DLL в исполняемом файле Windows 10 WordPad, write.exe.

ProxyLife сообщил, что они содержат ссылку для загрузки файла. Когда человек нажимает на нее, он загружает ZIP-архив со случайным именем с удаленного хоста.

Этот ZIP-файл содержит два файла: document.exe (исполняемый файл WordPad для Windows 10) и DLL-файл с именем edputil.dll (используемый для захвата DLL).

Свойства файла document.exe показывают, что это просто переименованная копия законного исполняемого файла Write.exe, используемого для запуска редактора документов Windows 10 WordPad.

При запуске document.exe он автоматически пытается загрузить законный файл DLL с именем edputil.dll, который обычно находится в папке C:\Windows\System32. 

Однако когда исполняемый файл пытается загрузить файл edputil.dll, он не проверяет его наличие в определенной папке и загружает любую библиотеку DLL с тем же именем, которая находится в той же папке, что и исполняемый файл document.exe.

Это позволяет злоумышленникам выполнять перехват DLL, создавая вредоносную версию DLL edputil.dll и сохраняя ее в той же папке, что и document.exe, чтобы она загружалась вместо нее.

После загрузки DLL вредоносное ПО использует C:\Windows\system32\curl.exe для загрузки DLL, замаскированной под файл PNG, с удаленного хоста.

Затем этот PNG-файл (фактически DLL) запускается с помощью rundll32.exe с помощью следующей команды:

rundll32 c:\users\public\default.png,print

После этого QBot начинает скрытно работать в фоновом режиме, похищая электронные письма для использования в дальнейших фишинговых атаках и, в конечном итоге, загружая другие полезные нагрузки, такие как Cobalt Strike 

Затем это устройство будет использоваться в качестве плацдарма для горизонтального распространения по сети, что обычно приводит к краже корпоративных данных и атакам программ-вымогателей.

Устанавливая QBot через доверенную программу, такую ​​как Windows 10 WordPad (write.exe), злоумышленники надеются, что программное обеспечение безопасности не пометит вредоносное ПО как вредоносное.

Однако использование curl.exe означает, что этот метод заражения будет работать только в Windows 10 и более поздних версиях, поскольку более ранние версии операционной системы не включают программу Curl.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Злоумышленники отправляют зашифрованные вложения RPMSG из краденных учёток Microsoft 365 для фишинга.
• Google Chat позволит жаловаться на неприемлемые сообщения.
• Данные миллионов пользователей попали в сеть из бесплатной VPN.