O aplicativo WordPad para Windows 10 contém uma vulnerabilidade de sequestro de DLL que a operação de malware QBot começou a usar para infectar máquinas, evitando a detecção por produtos de segurança.
Uma DLL é um arquivo de biblioteca que contém rotinas que podem ser utilizadas simultaneamente por muitos programas. Um programa fará um esforço para carregar todas as DLLs necessárias quando for iniciado.
Ele faz isso procurando em diretórios do Windows especificados pela DLL e carregando-a quando é descoberta. No entanto, as DLLs no mesmo local que o executável serão carregadas primeiro pelos programas do Windows, tendo precedência sobre todas as outras DLLs.
Quando um agente de ameaça cria uma DLL maliciosa com o mesmo nome de uma válida e a insere no caminho de pesquisa inicial do Windows, geralmente no mesmo local do executável, o processo é conhecido como sequestro de DLL. Quando esse executável é executado, ele carrega a DLL maliciosa em vez da confiável e executa todas as instruções maliciosas que encontra dentro dela.
QBot Malware rouba e-mails para ataques de phishing
O spyware do Windows chamado QBot, às vezes chamado de Qakbot, começou como um trojan bancário, mas depois se transformou em um conta-gotas de malware. Com a ajuda da operação de malware, gangues de ransomware, incluindo Black Basta, Egregor e Prolock, conseguiram primeiro penetrar nas redes comerciais e lançar campanhas de extorsão.
ProxyLife, um especialista em segurança e membro da Cryptolaemus, informou ao BleepingComputer que uma nova operação de phishing QBot começou usando uma vulnerabilidade de sequestro de DLL no executável write.exe WordPad no Windows 10.
Embora o ProxyLife tenha nos informado que os e-mails iniciais de phishing incluem um link para baixar um arquivo, o BleepingComputer não recebeu esses e-mails.
Um arquivo ZIP com nome aleatório de um site remoto será baixado quando alguém clicar no link.
O aplicativo Windows 10 WordPad document.exe e o arquivo DLL edputil.dll (usado para o sequestro de DLL) estão incluídos neste pacote ZIP.
O executável Write.exe genuíno usado para iniciar o editor de documentos WordPad do Windows 10 é essencialmente uma duplicata renomeada do document.exe arquivo, como você pode ver em seus atributos.
Um arquivo DLL genuíno chamado edputil.dll, que normalmente é encontrado no C:WindowsSystem32 pasta, é carregado imediatamente quando document.exe é executado.
No entanto, o executável carregará qualquer DLL com o mesmo nome localizado no mesmo local que o executável document.exe quando ele tenta carregar edputil.dll em vez de procurá-lo em uma pasta especificada.
Devido à criação de uma DLL maliciosa edputil.dll e seu armazenamento no mesmo local que document.exe, os agentes de ameaças agora são capazes de realizar o sequestro de DLL.
ProxyLife informou ao BleepingComputer que, quando a DLL é carregada, o malware utiliza C:Windowssystem32curl.exe para recuperar uma DLL disfarçada de arquivo PNG de um servidor remoto.
O seguinte comando é executado por rundll32.exe neste arquivo PNG (que é realmente uma DLL):
rundll32 c:userspublicdefault.png,print
À medida que o Cobalt Strike (um kit de ferramentas pós-exploração que os agentes de ameaças empregam para primeiro adquirir acesso ao dispositivo comprometido) e outras cargas úteis são finalmente baixadas, QBot continuará a operar silenciosamente em segundo plano, capturando e-mails para uso em outros ataques de phishing.
Após o uso deste dispositivo como base, a rede será infiltrada lateralmente, o que geralmente resulta em ataques de ransomware e roubo de dados comerciais.
Os agentes de ameaças esperam que, ao instalar QBot por meio de uma ferramenta respeitável como o Windows 10 WordPad (write.exe), os produtos de segurança não identificarão o vírus como prejudicial.
No entanto, como as versões anteriores do sistema operacional não possuem o software Curl, o uso do curl.exe implica que essa técnica de infecção só funcionará em Windows 10 e posterior.
Como as versões anteriores do Windows foram desativadas após a perda do suporte, isso geralmente não deve ser um problema. Atualmente, a operação QBot mudou para outras técnicas de infecção nas últimas semanas, embora seja normal que voltem a estratégias anteriores em campanhas subsequentes.
Se você estiver interessado em segurança, sugerimos que verifique os ataques de phishing no Twitter: os efeitos colaterais inesperados da taxa de verificação ou o ataque Battle net DDoS explicado (11 de outubro).
Source: QBot Malware explora o mecanismo de carregamento DLL do WordPad
