Хакеры начали использовать уязвимость в текстовом редакторе WordPad, который поставляется с предустановленной операционной системой Windows 10, для распространения Qbot. вредоносное ПОутверждают исследователи.
Исследователь кибербезопасности и член Cryptolaemus под псевдонимом ProxyLife обнаружил новую кампанию по электронной почте, в ходе которой хакеры распространяют программу WordPad вместе с вредоносной .DLL.
Когда WordPad запускается, он ищет определенные файлы .DLL, необходимые для правильной работы. Во-первых, он будет искать файлы в той же папке, в которой он находится, и если найдет их, то автоматически запустит их, даже если эти файлы .DLL являются вредоносными.
угон DLL
Эту практику обычно называют «загрузкой неопубликованных DLL» или «перехватом DLL», и это известный метод. Ранее было замечено, что хакеры использовали приложение «Калькулятор», чтобы сделать то же самое.
В этом конкретном случае, когда WordPad запускает DLL, вредоносный файл будет использовать исполняемый файл Curl.exe (находящийся в папке System32) для загрузки DLL, выдающей себя за PNG. Эта DLL на самом деле является Qbot, древним банковским трояном, который может красть электронные письма для использования в новых фишинговых атаках и инициировать загрузку дополнительных вредоносных программ, таких как, например, Cobalt Strike.
Используя законные программы, такие как WordPad или Calculator, для запуска вредоносных DLL-файлов, злоумышленники надеются обойти любые антивирусные программы и остаться незамеченными во время атаки.
Однако, поскольку этот метод требует использования Curl.exe, он работает только в Windows 10 и более поздних версиях, поскольку в предыдущих версиях эта программа не была предустановлена. Это не очень хорошо, так как поддержка старых версий в любом случае подходит к концу, а пользователи переходят на Windows 10 и Windows 11.
Сейчас, как сообщает BleepingComputer, в последние недели операция QBot перешла к другим методам заражения.
С помощью: Пищит Компьютер
2023-05-29 10:22:20
1685356498
#Эта #новая #вредоносная #программа #захватывает #Windows #WordPad #чтобы #избежать #обнаружения
