Операторы Qbot снова в деле, на этот раз с Windows WordPad
Протокол OpenVPN — вот почему он так хорош
Исследователи утверждают, что хакеры начали использовать уязвимость в текстовом редакторе WordPad, предустановленном в операционной системе Windows 10, для распространения вредоносного ПО Qbot.
Исследователь кибербезопасности и член Cryptolaemus под псевдонимом ProxyLife обнаружил новую кампанию по электронной почте, в которой хакеры распространяют программу WordPad вместе с вредоносным .DLL.
Когда WordPad запускается, он ищет определенные файлы .DLL, необходимые для правильной работы. Во-первых, он будет искать файлы в той же папке, в которой он находится, и, если найдет их, автоматически запустит их, даже если эти файлы .DLL являются вредоносными.
угон DLL
Эту практику часто называют «загрузкой неопубликованной DLL» или «перехватом DLL», и она является известной техникой. Ранее было замечено, что хакеры используют приложение «Калькулятор», чтобы сделать то же самое.
В этом конкретном случае, когда WordPad запускает DLL-файл, вредоносный файл будет использовать файл Curl.exe (расположенный в папке System32) для выгрузки DLL-файла в формате PNG. Эта DLL на самом деле является Qbot, старым банковским трояном, который может красть электронные письма для использования в новых фишинговых атаках и инициировать загрузку дополнительных вредоносных программ, таких как Cobalt Strike.
Используя законные программы, такие как WordPad или Calculator, для запуска вредоносных библиотек DLL злоумышленники надеются обойти любые антивирусные программы и остаться незамеченными во время атаки.
Однако, поскольку этот метод требует использования Curl.exe, он работает только в Windows 10 и более поздних версиях, поскольку в более ранних версиях он не был предварительно установлен. Это нехорошо, так как поддержка старых версий все равно прекращается и пользователи переходят на Windows 10 и Windows 11.
Теперь же, как сообщает BleepingComputer, в последние недели операция QBot перешла на другие способы заражения.
Tоп товаров AliExpress
Урок 14 - WordPad - мощный текстовый редактор, аналог Word | Компьютерные курсы 2020 (Windows 10)
Продолжаю рассказывать про программы для работы с текстом и его оформлением. На этот раз героем выпуска стал ...