El malware QBot ha comenzado a abusar de secuestro de DLL en el programa WordPad de Windows 10 para infectar ordenadores, utilizando el programa legítimo para evadir la detección del software de seguridad.
Una DLL es un archivo de biblioteca que contiene funciones que pueden ser utilizadas por más de un programa al mismo tiempo. Cuando se inicia una aplicación, ésta intentará cargar cualquier DLL necesaria.
Para ello, busca la DLL en determinadas carpetas de Windows y, cuando la encuentra, la carga. Sin embargo, las aplicaciones de Windows darán prioridad a las DLL que se encuentren en la misma carpeta que el ejecutable, cargándolas antes que las demás.
El secuestro de DLL se produce cuando un actor de amenazas crea una DLL maliciosa con el mismo nombre que una legítima y la coloca en la ruta de búsqueda inicial de Windows, normalmente la misma carpeta que el ejecutable. Cuando se inicia el ejecutable, éste carga la DLL maliciosa en lugar de la legítima y ejecuta los comandos maliciosos que contenga.
Malware QBot
QBot, también conocido como Qakbot, es un malware para Windows que inicialmente comenzó como un troyano bancario pero evolucionó hasta convertirse en un dropper de malware. Bandas de ransomware, como Black Basta, Egregor y Prolock, se han asociado con este malware para obtener acceso inicial a redes corporativas y llevar a cabo ataques de extorsión.
El investigador de seguridad y miembro de Cryptolaemus ProxyLife dijo que una nueva campaña de phishing QBot comenzó abusando de una vulnerabilidad de secuestro DLL en el ejecutable WordPad de Windows 10, write.exe.
ProxyLife dice que contienen un enlace para descargar un archivo.
Cuando una persona hace clic en el enlace se descargará un archivo ZIP de nombre aleatorio de un host remoto se descargará.
Este archivo ZIP contiene dos archivos: document.exe (el ejecutable WordPad de Windows 10) y un archivo DLL llamado edputil.dll (utilizado para el secuestro DLL).
Cuando se ejecuta document.exe, automáticamente intenta cargar un archivo DLL legítimo llamado edputil.dll, que normalmente se encuentra en la carpeta C:\Windows\System32.
Sin embargo, cuando el ejecutable intenta cargar edputil.dll, no lo busca en una carpeta específica y cargará cualquier DLL del mismo nombre que se encuentre en la misma carpeta que el ejecutable document.exe.
Esto permite a los actores de la amenaza realizar un secuestro de DLL creando una versión maliciosa de la DLL edputil.dll y almacenándola en la misma carpeta que document.exe para que se cargue en su lugar.
Una vez cargada la DLL, ProxyLife explica que el malware utiliza C:\Windows\system32\curl.exe para descargar una DLL camuflada como archivo PNG desde un host remoto.
Este archivo PNG (en realidad una DLL) se ejecuta a continuación utilizando rundll32.exe con el siguiente comando:
rundll32 c:\users\public\default.png,print
QBot se ejecutará ahora silenciosamente en segundo plano, robando correos electrónicos para utilizarlos en otros ataques de phishing y, finalmente, descargando otras cargas útiles, como Cobalt Strike (un conjunto de herramientas de post-explotación que los actores de amenazas utilizan para obtener acceso inicial al dispositivo infectado).
A continuación, este dispositivo se utilizará como punto de apoyo para propagarse lateralmente por la red, lo que suele conducir al robo de datos corporativos y a ataques de ransomware.
Al instalar QBot a través de un programa de confianza como el WordPad de Windows 10 (write.exe), los autores de la amenaza esperan que el software de seguridad no señale el malware como malicioso.
Sin embargo, el uso de curl.exe significa que este método de infección sólo funcionará en Windows 10 y versiones posteriores, ya que las versiones anteriores del sistema operativo no incluyen el programa Curl.
En su mayor parte, esto no debería ser un problema, ya que las versiones anteriores de Windows han sido eliminadas gradualmente después de alcanzar el final del soporte.
En este momento, la operación QBot ha pasado a otros métodos de infección en las últimas semanas, pero no es raro que cambien a tácticas anteriores en campañas posteriores.
Fuente y redacción: elhacker.net