Alcuni ricercatori di sicurezza hanno scoperto un nuovo attacco effettuato con QBot, uno dei malware più utilizzati dai cybercriminali per infettare i dispositivi Windows. Stavolta è stata sfruttata la nota applicazione WordPad per Windows 10 e la tecnica DLL hijacking per caricare in memoria la DLL fasulla.
QBot infetta Windows con WordPad
Le applicazioni Windows caricano in memoria le DLL necessarie, dopo averle individuate nelle directory specifiche, in particolare C:\Windows\System32. Tuttavia vengono prima caricate quelle che si trovano nella stessa directory del file eseguibile. La tecnica DLL hijacking permette di caricare in memoria la DLL infetta con lo stesso nome di quella legittima.
QBot era in origine un trojan bancario. Con le ultime versioni è diventato un dropper, quindi scarica altri malware sul computer. Viene spesso utilizzato per ottenere l’accesso iniziale alle reti aziendali. La nuova campagna di phishing prevede l’invio di email con un link ad un archivio ZIP che contiene due file: document.exe e edputil.dll.
Il primo è una copia rinominata di write.exe, l’eseguibile di WordPad per Windows 10. Quando lanciato, l’eseguibile carica in memoria la DLL infetta edputil.dll che si trova nella stessa directory, non quella legittima in C:\Windows\System32. Viene quindi usato il tool curl.exe del sistema operativo per scaricare un file PNG che in realtà è la DLL di QBot.
Il malware viene eseguito in background e ruba gli indirizzi email per successivi attacchi di phishing e scarica altri payload, tra cui Cobalt Strike. QBot viene inoltre sfruttato per i “movimenti laterali”, ovvero per accedere agli altri computer della rete, rubare i dati e installare ransomware.
Ti potrebbe interessare
28 mag 2023