ΑρχικήsecurityΤο Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον...

Το Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον εντοπισμό

Οι ερευνητές ισχυρίζονται ότι οι χάκερ έχουν αρχίσει να κάνουν κατάχρηση ενός ελαττώματος στον επεξεργαστή κειμένου WordPad, ο οποίος είναι προεγκατεστημένος με το λειτουργικό σύστημα Windows 10, για να διανείμουν το Qbot malware.

Δείτε επίσης: Bandit Stealer: Νέο info-stealer malware στοχεύει browsers και crypto wallets

Το Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον εντοπισμό
Το Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον εντοπισμό

Ένας ερευνητής κυβερνοασφάλειας και μέλος του Cryptolaemus, με το ψευδώνυμο “ProxyLife”, ανακάλυψε μια νέα email εκστρατεία στην οποία οι χάκερ διανέμουν το πρόγραμμα WordPad μαζί με ένα κακόβουλο αρχείο .DLL.

Όταν εκκινηθεί το WordPad, θα αναζητήσει ορισμένα αρχεία .DLL που χρειάζεται για να εκτελεστεί σωστά. Αρχικά, θα αναζητήσει τα αρχεία στον ίδιο φάκελο όπου βρίσκεται το ίδιο- αν τα βρει, θα τα εκτελέσει αυτόματα, ακόμη και αν αυτά τα αρχεία .DLL είναι κακόβουλα.

Δείτε επίσης: Ransomware: Οι πληρωμές των λύτρων συνεχίζουν να είναι η λάθος προσέγγιση

DLL hijacking

Η πρακτική αυτή αναφέρεται συνήθως ως “DLL sideloading” ή “DLL hijacking” και είναι μια πολύ γνωστή μέθοδος. Παλαιότερα, είχαν παρατηρηθεί χάκερ να χρησιμοποιούν την εφαρμογή Calculator για να κάνουν το ίδιο πράγμα.

Σε αυτή την περίπτωση, όταν το WordPad εκτελεί το DLL, ένα κακόβουλο αρχείο θα χρησιμοποιήσει ένα εκτελέσιμο αρχείο που ονομάζεται Curl.exe (που βρίσκεται στο φάκελο System32) για να κατεβάσει ένα DLL που προσποιείται ότι είναι ένα PNG. Αυτό το DLL είναι στην πραγματικότητα το Qbot, ένα banking trojan που μπορεί να κλέψει email για χρήση σε περαιτέρω επιθέσεις phishing και να ξεκινήσει τη λήψη επιπλέον κακόβουλου λογισμικού, όπως για παράδειγμα το Cobalt Strike.

Χρησιμοποιώντας νόμιμα προγράμματα, όπως το WordPad ή το Calculator, για την εκτέλεση κακόβουλων αρχείων DLL, οι χάκερ ελπίζουν να παρακάμψουν τυχόν προγράμματα προστασίας από ιούς και να παραμείνουν “αθόρυβοι” κατά τη διάρκεια της επίθεσης.

Δείτε επίσης: Πως κλέβει δεδομένα η νέα επίθεση Hot Pixels;

Ωστόσο, καθώς αυτή η μέθοδος απαιτεί τη χρήση του Curl.exe, λειτουργεί μόνο σε Windows 10 και νεότερες εκδόσεις, καθώς οι προηγούμενες εκδόσεις δεν είχαν αυτό το πρόγραμμα προεγκατεστημένο. Αυτό δεν προσφέρει μεγάλο όφελος, δεδομένου ότι οι παλαιότερες εκδόσεις φτάνουν ως επί το πλείστον στο τέλος του κύκλου ζωής της υποστήριξής τους και οι χρήστες μετακινούνται προς τα Windows 10 και Windows 11.

Πηγή πληροφοριών: techradar.com

Teo Ehc
Teo Ehchttps://secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS