Атаки с подменой DLL скрытно заражают компьютеры и могут использоваться для дальнейшего продвижения преступников по целевой сети.
Вредоносная программа QBot начала эксплуатировать уязвимость в приложении WordPad для Windows 10. Легитимная программа используется хакерами для обхода обнаружения антивирусным ПО, чтобы эффективно заражать целевые компьютеры.
QBot, также известный как «Qakbot», — это вредоносное программное обеспечение для Windows, которое изначально было банковским трояном, но в последствии превратилось в распространитель прочих вредоносных программ. Группы вымогателей, включая Black Basta, Egregor и Prolock, сотрудничают с операторами QBot, чтобы получать первичный доступ к корпоративным сетям и проводить свои разрушительные атаки.
Один из исследователей безопасности и член сообщества Cryptolaemus сообщил , что новая фишинговая кампания QBot начала злоупотреблять уязвимостью с подменой DLL в исполняемом файле «write.exe» приложения WordPad для Windows 10.
DLL представляет из себя файл-библиотеку, содержащий функции, которые могут использоваться несколькими программами одновременно. Когда приложение запускается, оно пытается загрузить необходимые для своей работы DLL, поэтому сканирует на предмет наличия необходимых DLL системную директорию и директорию с исполняемым файлом, однако приоритет всегда отдаётся последней. В связи с этим, злоумышленники могут положить вредоносный DLL в папку с программой, и при её запуске произойдёт подмена DLL на вредоносную.
Когда потенциальная жертва нажимает на ссылку в фишинговом письме QBot, она скачивает ZIP-архив с удалённого хоста. Архив содержит два файла: «document.exe» (исполняемый файл WordPad «write.exe», переименованный кибербандитами) и DLL-файл с именем «edputil.dll» (используется для DLL-подмены).
После подмены DLL QBot использует C:\Windows\system32\curl.exe для скачивания PNG-файла с удалённого хоста. Однако этот PNG-файл — на самом деле тоже DLL. Затем с помощью rundll32.exe хакеры выполняют следующую команду:
«rundll32 c:\users\public\default.png,print»
С этого момента QBot будет тихо работает в фоновом режиме, похищая электронные письма для использования в дальнейших фишинговых атаках и, в конечном итоге, загружая другие полезные нагрузки, такие, например, как Cobalt Strike.
Скомпрометированное устройство затем будет использоваться как начальная точка для распространения по всей сети, что часто приводит к краже корпоративных данных и атакам вымогателей.
Устанавливая QBot через доверенную программу WordPad (write.exe), злоумышленники надеются на то, что антивирусное ПО не пометит вредоносную программу как опасную. Однако использование «curl.exe» означает, что этот метод заражения будет работать только на Windows 10 и более поздних версиях ОС Windows 10. Устаревшие операционные системы от Microsoft не содержат «curl.exe», поэтому не восприимчивы к такого рода атаке.
В последние недели операция QBot уже перешла к другим методам заражения, согласно наблюдениям исследователей, но переключиться на предыдущую тактику киберпреступники могут в любой момент.