QBOT kötü amaçlı yazılım işlemi, güvenlik yazılımı tarafından algılamadan kaçınmak için meşru programı kullanarak bilgisayarları enfekte etmek için Windows 10 WordPad programındaki bir DLL kaçırma kusurunu kötüye kullanmaya başladı.
DLL, aynı anda birden fazla program tarafından kullanılabilecek işlevleri içeren bir kütüphane dosyasıdır. Bir uygulama başlatıldığında, gerekli DLL'leri yüklemeye çalışacaktır.
Bunu, DLL için belirli Windows klasörlerinden arayarak ve bulunduğunda yükleyerek yapar. Ancak, Windows uygulamaları, yürütülebilir ile aynı klasörde DLL'lere öncelik verir ve bunları diğerlerinden önce yükler.
DLL kaçırma, bir tehdit aktörünün meşru olanla aynı adlı kötü niyetli bir DLL oluşturduğu ve genellikle yürütülebilir ile aynı klasör olan erken Windows arama yoluna yerleştirdiği zamandır. Bu yürütülebilir uygulanabilir başlatıldığında, meşru olandan ziyade kötü amaçlı yazılım DLL'yi yükler ve içinde kötü amaçlı komutlar yürütür.
Qakbot olarak da bilinen QBOT, başlangıçta bir bankacılık Truva atı olarak başlayan ancak bir kötü amaçlı yazılım damlasına dönüşen bir Windows kötü amaçlı yazılımdır. Black Basta, Egregor ve Prolock da dahil olmak üzere fidye yazılımı çeteleri, gasp saldırıları yapmak için kurumsal ağlara ilk erişim elde etmek için kötü amaçlı yazılım operasyonu ile ortaklık kurdu.
Güvenlik araştırmacısı ve Cryptolaemus üyesi Proxyife, BleepingComputer'a yeni bir QBOT kimlik avı kampanyasının Windows 10 Wordpad yürütülebilir dosyasında bir DLL kaçırma kırılganlığını kötüye kullanmaya başladığını söyledi.
BleepingComputer orijinal kimlik avı e -postalarını görmemiş olsa da, ProxyLife bize bir dosya indirmek için bir bağlantı içerdiklerini söyledi.
Bir kişi bağlantıyı tıkladığında, uzak bir ana bilgisayardan rastgele bir Zip arşivi indirilir.
Bu zip dosyası iki dosya içerir: Document.exe (Windows 10 Wordpad Yürütülebilir dosyası) ve Edputil.dll (DLL Hijack için kullanılır) adlı bir DLL dosyası.
Document.exe dosyasının özelliklerinden de görebileceğiniz gibi, Windows 10 Wordpad Belge Düzenleyicisi'ni başlatmak için kullanılan meşru yazma.exe yürütülebilir dosyasının yeniden adlandırılmış bir kopyasıdır.
Document.exe başlatıldığında, normalde C: \ Windows \ System32 klasöründe bulunan edputil.dll adlı meşru bir DLL dosyasını otomatik olarak yüklemeye çalışır.
Ancak, yürütülebilir uygulanabilir edputil.dll yüklemeye çalıştığında, belirli bir klasörde kontrol etmez ve document.exe yürütülebilir ile aynı klasörde bulunan aynı addan herhangi bir DLL'yi yükler.
Bu, tehdit aktörlerinin edputil.dll DLL'nin kötü niyetli bir sürümünü oluşturarak ve bunun yerine yüklenecek şekilde document.exe ile aynı klasörde saklayarak DLL kaçırma yapmalarını sağlar.
DLL yüklendikten sonra ProxyLife, BleepingComputer'a kötü amaçlı yazılımın, uzak bir ana bilgisayardan PNG dosyası olarak kamufle edilmiş bir DLL kamufle edilmesi için C: \ Windows \ System32 \ curl.exe kullandığını söyledi.
Bu PNG dosyası (aslında bir DLL) aşağıdaki komutla Rundll32.exe kullanılarak yürütülür:
QBOT şimdi sessizce arka planda çalışacak, daha fazla kimlik avı saldırılarında kullanım için e-postaları çalacak ve sonunda Kobalt Strike (Sıkıştırma Sonrası Araç Seti tehdit aktörlerinin enfekte cihaza ilk erişim elde etmek için kullandığı diğer yükleri indirecek).
Bu cihaz daha sonra ağ boyunca yanal olarak yayılmak için bir dayanak olarak kullanılacak ve genellikle kurumsal veri hırsızlığı ve fidye yazılımı saldırılarına yol açacaktır.
QBOT'u Windows 10 WordPad (Write.exe) gibi güvenilir bir program aracılığıyla yükleyerek, Tehdit Oyuncuları Güvenlik Yazılımının kötü amaçlı yazılımı kötü niyetli olarak işaretlemeyeceğini umuyor.
Bununla birlikte, curl.exe kullanmak, bu enfeksiyon yönteminin yalnızca Windows 10 ve üstü üzerinde çalışacağı anlamına gelir, çünkü önceki işletim sistemi sürümleri CURL programını içermediği için.
Çoğunlukla, bu bir sorun olmamalıdır, çünkü Windows'un eski sürümleri desteğin sonuna ulaştıktan sonra aşamalı olarak kaldırılmıştır.
Şu anda, QBOT operasyonu son haftalarda diğer enfeksiyon yöntemlerine geçti, ancak daha sonraki kampanyalarda önceki taktiklere geçmeleri nadir değildir.
Yeni QBOT e -posta saldırıları kötü amaçlı yazılım yüklemek için PDF ve WSF kombinasyonu kullanın
"Operasyon Magalenha" 30 Portekiz bankasının kimlik bilgilerini hedefliyor
Yeni Android Fluhorse kötü amaçlı yazılım şifrelerinizi çalıyor, 2FA Kodları
Bilgisayar korsanları Google komutunu kötüye kullanın ve saldırılarda kırmızı takım aracını kontrol edin
Microsoft: Kimlik avı saldırısı, vergi günü yaklaşımı olarak muhasebecileri hedefler
Kaynak: Bleeping Computer