Шкідлива програма QBot почала використовувати вразливість програми WordPad, що робить її дії непомітними для антивірусного програмного забезпечення та дозволяє атакувати комп’ютери під керуванням Windows 11/10.
QBot (альтернативна назва - Qakbot) – це шкідлива програма для Windows, яка спочатку була банківським трояном, але згодом стала завантажувачем для інших шкідливих програм. Для отримання доступу к корпоративним мережам з метою проведення атак зловмисниками використовуються можливості QBot та наразі відомі випадки співпраці операторів QBot із Black Basta, Egregor та Prolock для проведення цільових атак на корпоративні інфраструктури.
Експерти з інформаційної безпеки з’ясували, що QBot розпочав нову фішингову кампанію із використанням вразливості WordPad, а саме завдяки підміни легітимної DLL-бібліотеки, яка завантажується WordPad (write.exe) при запуску. Принцип роботи вразливості доволі простий: при запуску програми write.exe вона завантажує необхідні для своєї роботи dll-модулі, але частина з них знаходиться в системних каталогах Windows. Процес завантаження модулів передбачає спочатку пошук dll в каталозі де безпосередньо розташована програма write.exe, а лише потім пошук в системних каталогах операційної системи. Відповідно, зловмиснику достатньо зберегти безпосередньо в каталозі де знаходиться write.exe спеціально підготовлені dll-бібліотеки та змусити користувача запустити WordPad для запуску шкідливого коду.
Фішингові листи QBot мають в собі посилання на ZIP-архів, який завантажується на комп’ютер жертви у разі натискання на посилання користувачем. Цей архів в собі має два файли: файл document.exe – перейменований легітимний файл WordPad write.exe та бібліотеку edputil.dll.
Після запуску document.exe в пам’ять комп’ютеру завантажується шкідливий модуль, який використовуючи вбудовану в Windows 11/10 програму curl.exe, завантажує PNG-файл із мережі інтернет. Завантажений файл насправді не має жодного відношення до зображень та уявляє собою шкідливу dll-бібліотеку, яка запускається за допомогою утілити rundll32.exe.
Після цього шкідливий модуль працює в фоновому режимі та відстежує дії користувача комп’ютера як троян та може завантажувати та запускати на комп’ютері шкідливі застосунки, наприклад, такі як Cobalt Strike.
Експерти зазначають, що атаки з заміною DLL до легітимного програмного забезпечення дозволяють приховано інфікувати комп'ютери та створює ризики вдалого проведення атаки вглиб мережі. Скомпрометована система після зараження використовується зловмисниками як стартова точка для поширення по всій мережі, що може призвести до крадіжки корпоративних даних та цільових атак вимагачів у майбутньому.
- 14.04.2024 Mirai розгортає ботнет на вразливих NAS D-Link
- 13.04.2024 Крупне оновлення Microsoft закриває дві 0-day вразливості
- 30.03.2024 World Backup Day – час перевірити процес резервування за чек-листом
- 19.11.2023 Microsoft виправила критичні вразливості, які вже було використано в реальних атаках
- 12.11.2023 NTLM-токени можливо вкрасти за допомогою Access