Οι ερευνητές ισχυρίζονται ότι οι χάκερ έχουν αρχίσει να κάνουν κατάχρηση ενός ελαττώματος στον επεξεργαστή κειμένου WordPad, ο οποίος είναι προεγκατεστημένος με το λειτουργικό σύστημα Windows 10, για να διανείμουν το Qbot malware.
Δείτε επίσης: Bandit Stealer: Νέο info-stealer malware στοχεύει browsers και crypto wallets
![Το Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον εντοπισμό](https://www.secnews.gr/wp-content/uploads/cwv-webp-images/2023/02/mirai-botnet-malware-2.jpg.webp)
Ένας ερευνητής κυβερνοασφάλειας και μέλος του Cryptolaemus, με το ψευδώνυμο “ProxyLife”, ανακάλυψε μια νέα email εκστρατεία στην οποία οι χάκερ διανέμουν το πρόγραμμα WordPad μαζί με ένα κακόβουλο αρχείο .DLL.
Όταν εκκινηθεί το WordPad, θα αναζητήσει ορισμένα αρχεία .DLL που χρειάζεται για να εκτελεστεί σωστά. Αρχικά, θα αναζητήσει τα αρχεία στον ίδιο φάκελο όπου βρίσκεται το ίδιο- αν τα βρει, θα τα εκτελέσει αυτόματα, ακόμη και αν αυτά τα αρχεία .DLL είναι κακόβουλα.
Δείτε επίσης: Ransomware: Οι πληρωμές των λύτρων συνεχίζουν να είναι η λάθος προσέγγιση
DLL hijacking
Η πρακτική αυτή αναφέρεται συνήθως ως “DLL sideloading” ή “DLL hijacking” και είναι μια πολύ γνωστή μέθοδος. Παλαιότερα, είχαν παρατηρηθεί χάκερ να χρησιμοποιούν την εφαρμογή Calculator για να κάνουν το ίδιο πράγμα.
Σε αυτή την περίπτωση, όταν το WordPad εκτελεί το DLL, ένα κακόβουλο αρχείο θα χρησιμοποιήσει ένα εκτελέσιμο αρχείο που ονομάζεται Curl.exe (που βρίσκεται στο φάκελο System32) για να κατεβάσει ένα DLL που προσποιείται ότι είναι ένα PNG. Αυτό το DLL είναι στην πραγματικότητα το Qbot, ένα banking trojan που μπορεί να κλέψει email για χρήση σε περαιτέρω επιθέσεις phishing και να ξεκινήσει τη λήψη επιπλέον κακόβουλου λογισμικού, όπως για παράδειγμα το Cobalt Strike.
Χρησιμοποιώντας νόμιμα προγράμματα, όπως το WordPad ή το Calculator, για την εκτέλεση κακόβουλων αρχείων DLL, οι χάκερ ελπίζουν να παρακάμψουν τυχόν προγράμματα προστασίας από ιούς και να παραμείνουν “αθόρυβοι” κατά τη διάρκεια της επίθεσης.
![](https://www.secnews.gr/wp-content/uploads/cwv-webp-images/2023/03/hackers-scarleteel.jpg.webp)
Δείτε επίσης: Πως κλέβει δεδομένα η νέα επίθεση Hot Pixels;
Ωστόσο, καθώς αυτή η μέθοδος απαιτεί τη χρήση του Curl.exe, λειτουργεί μόνο σε Windows 10 και νεότερες εκδόσεις, καθώς οι προηγούμενες εκδόσεις δεν είχαν αυτό το πρόγραμμα προεγκατεστημένο. Αυτό δεν προσφέρει μεγάλο όφελος, δεδομένου ότι οι παλαιότερες εκδόσεις φτάνουν ως επί το πλείστον στο τέλος του κύκλου ζωής της υποστήριξής τους και οι χρήστες μετακινούνται προς τα Windows 10 και Windows 11.
Πηγή πληροφοριών: techradar.com