O malware QBot agora está abusando de uma falha de sequestro de DLL no programa WordPad do Windows 10 para infectar computadores, usando o programa legítimo para evitar a detecção por software de segurança.
Para quem não sabe, DLL é um arquivo de biblioteca contendo funções que podem ser usadas por mais de um programa ao mesmo tempo. Quando um aplicativo é iniciado, ele tenta carregar todas as DLLs necessárias. Ele faz isso pesquisando pastas específicas do Windows para a DLL e, quando encontrada, carrega-a. No entanto, os aplicativos do Windows priorizarão as DLLs na mesma pasta do executável, carregando-as antes de todas as outras.
O sequestro de DLL ocorre quando um agente de ameaça cria uma DLL maliciosa com o mesmo nome de uma legítima e a coloca no caminho de pesquisa inicial do Windows, geralmente na mesma pasta do executável. Quando esse executável for iniciado, ele carregará a DLL do malware em vez da legítima e executará qualquer comando malicioso dentro dela.
QBot abusa da falha de sequestro do WordPad DLL
O QBot é um malware do Windows que inicialmente começou como um trojan bancário, mas evoluiu para um conta-gotas de malware. E, de acordo com o pesquisador de segurança e membro do Cryptolaemus, ProxyLife, esse malware está com uma nova campanha de phishing. Essa campanha está abusando de uma vulnerabilidade de sequestro de DLL no Windows 10 WordPad executável, write.exe.
Embora o BleepingComputer não tenha visto os e-mails de phishing originais, o ProxyLife nos disse que eles contêm um link para baixar um arquivo. De acordo com as informações levantadas pelo site, quando uma pessoa clicar no link, ele fará o download de um arquivo ZIP nomeado aleatório de um host remoto.
Este arquivo ZIP contém dois arquivos: document.exe (o Windows 10 WordPad executável) e um arquivo DLL chamado edputil.dll (usado para o sequestro de DLL).
Como você pode ver nas propriedades do arquivo document.exe, ele é simplesmente uma cópia renomeada do executável Write.exe legítimo usado para iniciar o editor de documentos WordPad do Windows 10. Quando o document.exe é iniciado, ele tenta automaticamente carregar um arquivo DLL legítimo chamado edputil.dll, que normalmente está localizado na pasta C:\Windows\System32.
No entanto, quando o executável tenta carregar edputil.dll, ele não o verifica em uma pasta específica e carrega qualquer DLL com o mesmo nome encontrada na mesma pasta que o executável document.exe. Isso permite que os agentes de ameaças executem o sequestro de DLL criando uma versão maliciosa da DLL edputil.dll e armazenando-a na mesma pasta que document.exe para que seja carregada em seu lugar.
Depois que a DLL é carregada, o ProxyLife disse ao BleepingComputer que o malware usa C:\Windows\system32\curl.exe para baixar uma DLL camuflada como um arquivo PNG de um host remoto. Este arquivo PNG (na verdade, uma DLL) é executado usando rundll32.exe com o seguinte comando: rundll32 c:\users\public\default.png,print
O QBot agora será executado silenciosamente em segundo plano, roubando e-mails para uso em outros ataques de phishing e, eventualmente, baixando outras cargas úteis, como o Cobalt Strike. Esse dispositivo será usado como ponto de apoio para se espalhar lateralmente pela rede, geralmente levando a roubo de dados corporativos e ataques de ransomware.
Ao instalar o QBot por meio de um programa confiável como o Windows 10 WordPad (write.exe), os agentes de ameaças esperam que o software de segurança não sinalize o malware como malicioso. No entanto, usar o curl.exe significa que esse método de infecção funcionará apenas no Windows 10 e posterior, pois as versões anteriores do sistema operacional não incluem o programa Curl.
Na maioria das vezes, isso não deve ser um problema, pois as versões mais antigas do Windows foram eliminadas após o fim do suporte, lembra o Bleeping Computer. Neste momento, a operação QBot mudou para outros métodos de infecção nas últimas semanas, mas não é incomum que eles mudem para táticas anteriores em campanhas posteriores.
