Hacker haben damit begonnen, einen Fehler im WordPad-Texteditor, der im Betriebssystem Windows 10 vorinstalliert ist, auszunutzen, um die Qbot-Malware zu verbreiten, behaupten Forscher.
Ein Cybersicherheitsforscher und Mitglied von Cryptolaemus entdeckte unter dem Pseudonym ProxyLife eine neue E-Mail-Kampagne, in der Hacker das WordPad-Programm zusammen mit einer bösartigen .DLL verbreiten.
Wenn WordPad gestartet wird, sucht es nach bestimmten .DLL-Dateien, die es für die ordnungsgemäße Ausführung benötigt. Zuerst sucht es nach den Dateien in demselben Ordner, in dem es sich befindet, und wenn es sie findet, führt es sie automatisch aus, auch wenn diese .DLL-Dateien bösartig sind.
DLL-Hijacking
Diese Praxis wird üblicherweise als „DLL-Sideloading“ oder „DLL-Hijacking“ bezeichnet und ist eine bekannte Methode. Zuvor wurden Hacker beobachtet, die die Rechner-App nutzten, um dasselbe zu tun.
In diesem speziellen Fall, wenn WordPad die DLL ausführt, verwendet die schädliche Datei eine ausführbare Datei namens Curl.exe (im Ordner System32), um eine DLL herunterzuladen, die vorgibt, ein PNG zu sein. Bei dieser DLL handelt es sich eigentlich um Qbot, einen alten Banktrojaner, der E-Mails stehlen kann, um sie für weitere Phishing-Angriffe zu nutzen und den Download zusätzlicher Malware, wie zum Beispiel Cobalt Strike, zu veranlassen.
Durch die Verwendung legitimer Programme wie WordPad oder Calculator zum Ausführen der schädlichen DLL-Dateien hoffen die Bedrohungsakteure, alle Antivirenprogramme zu umgehen und während des Angriffs unauffällig zu bleiben.
Da diese Methode jedoch die Verwendung von Curl.exe erfordert, funktioniert sie nur unter Windows 10 und neueren Versionen, da in früheren Versionen dieses Programm nicht vorinstalliert war. Das nützt nicht viel, da ältere Versionen ohnehin größtenteils das Ende des Supports erreichen und Benutzer auf Windows 10 und Windows 11 umsteigen.
Derzeit, berichtet BleepingComputer, hat sich die QBot-Operation in den letzten Wochen auf andere Infektionsmethoden ausgeweitet.
Über: BleepingComputer