Malware QBot abusa do aplicativo Windows WordPad EXE para infectar dispositivos
29 de Maio de 2023

A operação de malware QBot começou a abusar de uma falha de DLL hijacking no programa WordPad do Windows 10 para infectar computadores, usando o programa legítimo para evitar detecção por software de segurança.

Uma DLL é um arquivo de biblioteca contendo funções que podem ser usadas por mais de um programa ao mesmo tempo.

Quando um aplicativo é lançado, ele tentará carregar quaisquer DLLs necessárias.
Isso é feito procurando por pastas específicas do Windows para a DLL e, quando encontrada, a carrega.

No entanto, aplicativos do Windows darão prioridade às DLLs na mesma pasta que o executável, carregando-as antes de todas as outras.

DLL hijacking ocorre quando um ator de ameaça cria uma DLL maliciosa com o mesmo nome de uma legítima e a coloca no início do caminho de pesquisa do Windows, geralmente na mesma pasta que o executável.

Quando esse executável é lançado, ele carregará a DLL de malware em vez da legítima e executará quaisquer comandos maliciosos dentro dela.

QBot, também conhecido como Qakbot, é um malware do Windows que inicialmente começou como um trojan bancário, mas evoluiu para um dropper de malware.

Grupos de ransomware, incluindo Black Basta, Egregor e Prolock, se associaram à operação de malware para obter acesso inicial às redes corporativas para realizar ataques de extorsão.

O pesquisador de segurança e membro da Cryptolaemus, ProxyLife, disse ao BleepingComputer que uma nova campanha de phishing do QBot começou a abusar de uma vulnerabilidade de DLL hijacking no executável WordPad do Windows 10, write.exe.

Embora o BleepingComputer não tenha visto os e-mails de phishing originais, o ProxyLife nos disse que eles contêm um link para baixar um arquivo.

Quando uma pessoa clica no link, um arquivo ZIP com nome aleatório de um host remoto será baixado.

Este arquivo ZIP contém dois arquivos: document.exe (o executável do WordPad do Windows 10) e um arquivo DLL chamado edputil.dll (usado para o hijack de DLL).

Como você pode ver pelas propriedades do arquivo document.exe, é simplesmente uma cópia renomeada do executável legítimo Write.exe usado para iniciar o editor de documentos do WordPad do Windows 10.

Quando document.exe é lançado, ele tenta automaticamente carregar um arquivo DLL legítimo chamado edputil.dll, que normalmente está localizado na pasta C:\Windows\System32.

No entanto, quando o executável tenta carregar edputil.dll, ele não verifica se ele está em uma pasta específica e carregará qualquer DLL com o mesmo nome encontrada na mesma pasta que o executável document.exe.

Isso permite que os atores de ameaça realizem o hijacking de DLL criando uma versão maliciosa da DLL edputil.dll e armazenando-a na mesma pasta que document.exe para que seja carregada em vez disso.

Depois que a DLL é carregada, o ProxyLife disse ao BleepingComputer que o malware usa o C:\Windows\system32\curl.exe para baixar uma DLL camuflada como um arquivo PNG de um host remoto.

QBot agora executará silenciosamente em segundo plano, roubará e-mails para uso em ataques de phishing posteriores e, eventualmente, baixará outras cargas úteis, como o Cobalt Strike (uma ferramenta de pós-exploração que os atores de ameaça usam para obter acesso inicial ao dispositivo infectado).

Este dispositivo será então usado como um ponto de apoio para se espalhar lateralmente por toda a rede, geralmente levando ao roubo de dados corporativos e ataques de ransomware.

Ao instalar o QBot por meio de um programa confiável como o WordPad do Windows 10 (write.exe), os atores de ameaça esperam que o software de segurança não detecte o malware como malicioso.

No entanto, o uso do curl.exe significa que este método de infecção só funcionará no Windows 10 e posteriores, já que versões anteriores do sistema operacional não incluem o programa Curl.

Na maioria das vezes, isso não deve ser um problema, já que versões mais antigas do Windows foram descontinuadas após o término do suporte.

Neste momento, a operação QBot mudou para outros métodos de infecção nas últimas semanas, mas não é incomum que eles voltem a táticas anteriores em campanhas posteriores.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...