QBOT kötü amaçlı yazılım operatörleri, enfekte bilgisayarlarda kötü amaçlı yükü yan yüklemek için Windows hesaplayıcısını kullanıyor.
DLL Yan Yükleme, Dinamik Bağlantı Kütüphanelerinin (DLL) Windows'ta nasıl işlendiğinden yararlanan yaygın bir saldırı yöntemidir. Meşru bir DLL'yi taklit etmek ve işletim sisteminin meşru olan yerine yüklediği bir klasöre yerleştirilmeden oluşur.
Qakbot olarak da bilinen QBOT, bir bankacılık truva atı olarak başlayan ancak kötü amaçlı yazılım damlasına dönüşen ve saldırının ilk aşamalarında fidye yazılım çeteleri tarafından kobalt grev işaretlerini düşürmek için kullanılan bir Windows kötü amaçlı yazılım suşudur.
Güvenlik araştırmacısı ProxyLife kısa süre önce Qakbot'un en az 11 Temmuz'dan bu yana DLL yan yükleme saldırıları için Windows 7 hesaplayıcı uygulamasını kötüye kullandığını keşfetti. Yöntem Malspam kampanyalarında kullanılmaya devam ediyor.
#Qakbot - obama200 - html> .zip> .iso> .lnk> calc.exe> .dll> .dll T1574 - DLL Arama Sırası Kaçırma cmd.exe /q /c calc.exe regsvr32 /s c: \ users \ user \ appdata \ local \ temp \ windowscodecs.dll regsvr32.exe 102755.dllttps: //t.co/2vgg6curfh İoc'Shttps: //t.co/e7hknw8ex pic.twitter.com/sch1xagkyr
Savunucuların bu tehdide karşı korunmasına yardımcı olmak için Proxyife ve Cyble'daki araştırmacılar en son QBOT enfeksiyon zincirini belgeledi.
En son kampanyada kullanılan e-postalar, içinde bir ISO dosyasıyla şifre korumalı bir zip arşivi indiren bir HTML dosya eki taşır.
ZIP dosyasını açmak için şifre HTML dosyasında gösterilmiştir ve arşivi kilitlemenin nedeni antivirüs algılamasından kaçmaktır.
ISO, bir .lnk dosyası, 'calc.exe' (Windows hesap makinesi) ve iki DLL dosyası, yani WindowsCodecs.dll ve 7533.dll adlı bir yük içerir.
Kullanıcı ISO dosyasını monte ettiğinde, yalnızca önemli bilgileri tutan bir PDF gibi görünmek için maskelenen .lnk dosyasını veya Microsoft Edge tarayıcısıyla açılan bir dosya gibi görünen .lnk dosyasını görüntüler.
Ancak, kısayol, dosyaların Özellikler iletişim kutusunda görüldüğü gibi Windows'taki hesap makinesi uygulamasına işaret eder.
Kısayol tıklamak, komut istemi aracılığıyla calc.exe'yi yürüterek enfeksiyonu tetikler.
Yüklendiğinde, Windows 7 hesap makinesi otomatik olarak meşru WindowsCodecs DLL dosyasını arar ve yüklemeye çalışır. Ancak, belirli sert kodlanmış yollarda DLL'yi kontrol etmez ve Calc.exe yürütülebilir ile aynı klasöre yerleştirilirse aynı adla herhangi bir DLL yükler.
Tehdit aktörleri, QBOT kötü amaçlı yazılım olan diğer [numaralı] .dll dosyasını başlatan kendi kötü amaçlı WindowsCodecs.dll dosyasını oluşturarak bu kusurdan yararlanır.
QBOT'u Windows Hesaplayıcı gibi güvenilir bir program aracılığıyla yükleyerek, bazı güvenlik yazılımı yüklendiğinde kötü amaçlı yazılımları algılayamayabilir ve tehdit aktörlerinin tespitten kaçmasına izin verir.
Bu DLL sideloading kusurunun artık Windows 10 Calc.exe ve daha sonra çalışmadığı, bu yüzden tehdit aktörleri Windows 7 sürümünü paketlediğine dikkat edilmelidir.
QBOT on yıldan fazla bir süredir, kökenler 2009'a kadar uzağa gidiyor [1, 2, 3, 4]. Bunu sunan kampanyalar sık olmasa da, fidye yazılımı yüklerini düşürmek için Emotet Botnet tarafından geçmişte dağıtıldığı gözlendi.
QBOT'un teslim ettiği fidye yazılımı aileleri arasında Ransomexx, Maze, Prolock ve Egregor. Son zamanlarda, kötü amaçlı yazılım siyah Basta fidye yazılımı bıraktı.
Microsoft, yüzlerce Windows Networks'te Raspberry Robin solucanını bulur
Yeni Quantum Builder ile Malikar Windows 'LNK' saldırıları kolaylaştı
QBOT kötü amaçlı yazılım artık kimlik avı saldırılarında Windows MSDT sıfır gününü kullanıyor
QBOT artık Bot-Basta fidye yazılımını botla çalışan saldırılarda zorluyor
Çin Luoyu Hackers, Uygulama Güncellemeleri aracılığıyla Cyber-Repionage kötü amaçlı yazılımları dağıtıyor
Kaynak: Bleeping Computer