QBot: phishing con il Pannello di controllo

QBot: phishing con il Pannello di controllo

Ignoti cybercriminali hanno sfruttato il file eseguibile del Pannello di controllo di Windows 10 per installare QBot e scaricare altri malware.
Ignoti cybercriminali hanno sfruttato il file eseguibile del Pannello di controllo di Windows 10 per installare QBot e scaricare altri malware.

Il ricercatore ProxyLife ha scoperto un nuovo attacco effettuato con il famigerato QBot, inizialmente noto come trojan bancario e successivamente diventato un dropper. La tecnica è simile a quella già utilizzata a fine luglio. Stavolta è stato sfruttato il Pannello di controllo di Windows 10.

QBot usa il Pannello di controllo per installare malware

Ignoti cybercriminali hanno effettuato l’attacco di phishing mediante la tecnica “reply-chain email”. In pratica sono riusciti ad inserirsi nella discussione utilizzando indirizzi legittimi. Nel messaggio viene consigliato di leggere un file HTML allegato (indicato con l’icona di Chrome). Quando aperto, il file HTML mostra l’icona di Google Drive e la password di un archivio ZIP che viene scaricato automaticamente.

L’archivio ZIP contiene un’immagine ISO che, a sua volta, contiene quattro file: un .LNK, l’eseguibile control.exe e due DLL, ovvero edputil.dll e msoffice32.dll. Quando l’utente clicca sul file .LNK viene lanciato l’eseguibile del Pannello di controllo di Windows 10 (control.exe). Quest’ultimo esegue edputil.dll presente nella stessa directory, non quella ufficiale presente in C:\Windows\System32. La tecnica è nota come DLL hijacking.

La DLL fasulla carica quindi in memoria msoffice32.dll, ovvero QBot. Il dropper, che viene eseguito in background, può rubare le email e scaricare altri payload, tra cui Brute Ratel or Cobalt Strike, sfruttati per accedere alla rete aziendale, rubare dati sensibili e installare ransomware.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 18 nov 2022
Link copiato negli appunti