QBot usa WordPad do Windows 10 para infectar dispositivos

Da Redação
28/05/2023

Os operadores do trojan bancário QBot estão explorando uma falha de sequestro de DLL no programa WordPad do Windows 10 para infectar computadores e também para evitar a detecção por software de segurança. DLL (Dynamic-link Library) é um arquivo de biblioteca de vínculo dinâmico que contém funções que podem ser usadas por mais de um programa ao mesmo tempo. Quando um aplicativo é iniciado, ele tenta carregar todas as DLLs necessárias. O arquivo faz isso pesquisando pastas específicas do Windows para a DLL e, quando encontrada, faz o carregamento. 

No entanto, os aplicativos do Windows priorizarão as DLLs na mesma pasta do executável, carregando-as antes de todas as outras. O sequestro de DLL ocorre quando o operador da ameaça — neste caso, do QBot — cria uma DLL maliciosa com o mesmo nome de uma legítima e a coloca no caminho de pesquisa inicial do Windows, geralmente na mesma pasta do executável. Quando esse executável for iniciado, ele carregará a DLL do malware em vez da legítima e executará qualquer comando malicioso dentro dela.

O QBot, também conhecido como Qakbot, é um malware para Windows que inicialmente começou como um trojan bancário, mas evoluiu para um conta-gotas de malware. Gangues de ransomware, incluindo o Black Basta, Egregor e Prolock, fizeram parceria com o operador do malware para obter acesso inicial a redes corporativas para realizar ataques de extorsão.

O pesquisador de segurança que se identifica como ProxyLife,  membro do grupo Cryptolaemus e especialista em forense digital e resposta a incidentes (DFIR), disse ao BleepingComputer que uma nova campanha de phishing do QBot começou a explorar de uma vulnerabilidade de sequestro de DLL no WordPad executável (write.exe) do Windows 10.

Segundo ele, quando a pessoa clica no link, ele faz o download de um arquivo ZIP nomeado aleatório de um host remoto. Esse arquivo ZIP contém dois arquivos: document.exe (o Windows 10 WordPad executável) e um arquivo DLL chamado edputil.dll (usado para o sequestro de DLL). Assim que o document.exe é iniciado, ele tenta automaticamente carregar um arquivo DLL legítimo chamado edputil.dll, que normalmente está localizado na pasta C:\Windows\System32. 

Veja isso
Qbot predomina como principal malware em abril no Brasil
Campanha do Qbot usa malware para sequestrar e-mail comercial

O pesquisador diz que, em seguida, quando o executável tenta carregar edputil.dll, ele não o verifica em uma pasta específica e carrega qualquer DLL com o mesmo nome encontrada na mesma pasta que o executável document.exe. Isso permite que o operador da ameaça execute o sequestro de DLL criando uma versão maliciosa da DLL edputil.dll e armazenando-a na mesma pasta que o document.exe para que seja carregada em seu lugar. Depois que a DLL é carregada, o malware usa C:\Windows\system32\curl.exe para baixar uma DLL camuflada como um arquivo PNG de um host remoto.

“O QBot agora será executado silenciosamente em segundo plano, roubando e-mails para uso em outros ataques de phishing e, eventualmente, baixando outras cargas úteis, como o Cobalt Strike [um kit de ferramentas pós-exploração que os operadores de ameaças usam para obter acesso inicial ao dispositivo infectado]. Esse dispositivo será usado como ponto de apoio para se espalhar lateralmente pela rede, geralmente levando a roubo de dados corporativos e ataques de ransomware.”A operação QBot mudou para outros métodos de infecção nas últimas semanas, mas não é incomum que ele mude para táticas anteriores em campanhas posteriores.

Compartilhar: