[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

QBot usa WordPad do Windows 10 para infectar dispositivos

Os operadores do trojan bancário QBot estão explorando uma falha de sequestro de DLL no programa WordPad do Windows 10 para infectar computadores e também para evitar a detecção por software de segurança. DLL (Dynamic-link Library) é um arquivo de biblioteca de vínculo dinâmico que contém funções que podem ser usadas por mais de um programa ao mesmo tempo. Quando um aplicativo é iniciado, ele tenta carregar todas as DLLs necessárias. O arquivo faz isso pesquisando pastas específicas do Windows para a DLL e, quando encontrada, faz o carregamento. 

No entanto, os aplicativos do Windows priorizarão as DLLs na mesma pasta do executável, carregando-as antes de todas as outras. O sequestro de DLL ocorre quando o operador da ameaça — neste caso, do QBot — cria uma DLL maliciosa com o mesmo nome de uma legítima e a coloca no caminho de pesquisa inicial do Windows, geralmente na mesma pasta do executável. Quando esse executável for iniciado, ele carregará a DLL do malware em vez da legítima e executará qualquer comando malicioso dentro dela.

O QBot, também conhecido como Qakbot, é um malware para Windows que inicialmente começou como um trojan bancário, mas evoluiu para um conta-gotas de malware. Gangues de ransomware, incluindo o Black Basta, Egregor e Prolock, fizeram parceria com o operador do malware para obter acesso inicial a redes corporativas para realizar ataques de extorsão.

O pesquisador de segurança que se identifica como ProxyLife,  membro do grupo Cryptolaemus e especialista em forense digital e resposta a incidentes (DFIR), disse ao BleepingComputer que uma nova campanha de phishing do QBot começou a explorar de uma vulnerabilidade de sequestro de DLL no WordPad executável (write.exe) do Windows 10.

Segundo ele, quando a pessoa clica no link, ele faz o download de um arquivo ZIP nomeado aleatório de um host remoto. Esse arquivo ZIP contém dois arquivos: document.exe (o Windows 10 WordPad executável) e um arquivo DLL chamado edputil.dll (usado para o sequestro de DLL). Assim que o document.exe é iniciado, ele tenta automaticamente carregar um arquivo DLL legítimo chamado edputil.dll, que normalmente está localizado na pasta C:\Windows\System32. 

Veja isso
Qbot predomina como principal malware em abril no Brasil
Campanha do Qbot usa malware para sequestrar e-mail comercial

O pesquisador diz que, em seguida, quando o executável tenta carregar edputil.dll, ele não o verifica em uma pasta específica e carrega qualquer DLL com o mesmo nome encontrada na mesma pasta que o executável document.exe. Isso permite que o operador da ameaça execute o sequestro de DLL criando uma versão maliciosa da DLL edputil.dll e armazenando-a na mesma pasta que o document.exe para que seja carregada em seu lugar. Depois que a DLL é carregada, o malware usa C:\Windows\system32\curl.exe para baixar uma DLL camuflada como um arquivo PNG de um host remoto.

“O QBot agora será executado silenciosamente em segundo plano, roubando e-mails para uso em outros ataques de phishing e, eventualmente, baixando outras cargas úteis, como o Cobalt Strike [um kit de ferramentas pós-exploração que os operadores de ameaças usam para obter acesso inicial ao dispositivo infectado]. Esse dispositivo será usado como ponto de apoio para se espalhar lateralmente pela rede, geralmente levando a roubo de dados corporativos e ataques de ransomware.”A operação QBot mudou para outros métodos de infecção nas últimas semanas, mas não é incomum que ele mude para táticas anteriores em campanhas posteriores.