Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il malware QBot ha iniziato a sfruttare una vulnerabilità in WordPad per Windows 10. Il programma legittimo viene utilizzato dagli hacker per aggirare il rilevamento del software antivirus al fine di infettare efficacemente i computer di destinazione.
QBot, noto anche come “Qakbot”, è un malware per Windows che originariamente era un trojan bancario, ma in seguito si è trasformato in un distributore di altri malware. Gruppi di ransomware tra cui Black Basta, Egregor e Prolock stanno collaborando con gli operatori QBot per ottenere l’accesso primario alle reti aziendali ed eseguire i loro attacchi distruttivi.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il ricercatore di sicurezza e membro della comunità Cryptolaemus ha riferito che una nuova campagna di phishing QBot ha iniziato ad abusare di una vulnerabilità di DLL spoofing nell’eseguibile “write.exe” dell’applicazione Windows 10 WordPad.
Una DLL è un file di libreria contenente funzioni che possono essere utilizzate da più programmi contemporaneamente. Una applicazione al suo avvio tenta di caricare le DLL necessarie per il suo lavoro, pertanto esegue la scansione della directory di sistema e della directory con il file eseguibile per rilevare la presenza delle DLL necessarie. A questo proposito, gli aggressori possono inserire una DLL dannosa nella cartella con il programma e, quando viene avviato, la DLL verrà sostituita con una dannosa.
Quando una potenziale vittima fa clic su un collegamento in un’e-mail di phishing QBot, scarica un archivio ZIP da un host remoto. L’archivio contiene due file: “document.exe” (eseguibile di WordPad “write.exe”, rinominato da cyberbandits) e un file DLL denominato “edputil.dll” (utilizzato per la sostituzione delle DLL).
Dopo aver sostituito la DLL, QBot utilizza C:\Windows\system32\curl.exe per scaricare il file PNG dall’host remoto. Tuttavia, questo file PNG è in realtà anche una DLL.Gli hacker utilizzano quindi rundll32.exe per eseguire il seguente comando:
“rundll32 c:\users\public\default.png,print”
D’ora in poi, QBot funzionerà silenziosamente in background, rubando e-mail da utilizzare in ulteriori attacchi di phishing e infine scaricando altri payload come Cobalt Strike. Il dispositivo compromesso verrà quindi utilizzato come punto di partenza per la distribuzione in tutta la rete, spesso con conseguenti furti di dati aziendali e attacchi ransomware.
Installando QBot tramite l’affidabile programma WordPad (write.exe), gli aggressori sperano che il software antivirus non contrassegni il malware come pericoloso. Tuttavia, l’uso di “curl.exe” significa che questo metodo di infezione funzionerà solo su Windows 10 e versioni successive di Windows 10. I sistemi operativi legacy di Microsoft non contengono “curl.exe” e pertanto non sono suscettibili a questo tipo di attacco.
Nelle ultime settimane QBot è già passato ad altri metodi di infezione, secondo le osservazioni dei ricercatori, ma i criminali informatici possono passare alle tattiche precedenti in qualsiasi momento.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
