Οι χειριστές του κακόβουλου λογισμικού QBot χρησιμοποιούν το Windows Calculator για να κάνουν side-loading του κακόβουλου payload σε μολυσμένους υπολογιστές.
Το DLL side-loading είναι μια συνηθισμένη μέθοδος επίθεσης που εκμεταλλεύεται τον τρόπο χειρισμού των Dynamic Link Libraries (DLLs) στα Windows. Αυτή η τεχνική περιλαμβάνει το spoofing ενός νόμιμου DLL και την τοποθέτησή του σε έναν φάκελο από όπου το φορτώνει το λειτουργικό σύστημα (όχι στο φάκελο που πρέπει).
Δείτε επίσης: Η FCC καταπολεμά τα robocalls μέσω «αυτόματης εγγύησης»
Το QBot, γνωστό και ως Qakbot, είναι ένα malware που επηρεάζει Windows συσκευές. Ξεκίνησε ως banking trojan αλλά εξελίχθηκε σε malware dropper και χρησιμοποιείται συχνά από συμμορίες ransomware στα πρώτα στάδια της επίθεσης για την εγκατάσταση Cobalt Strike beacons στις συσκευές-στόχους.
Ο ερευνητής ασφαλείας ProxyLife ανακάλυψε πρόσφατα ότι το Qbot κάνει κατάχρηση του Calculator app των Windows 7 για DLL side-loading επιθέσεις, τουλάχιστον από τις 11 Ιουλίου.
Qbot malware: Νέες επιθέσεις
Ο ProxyLife και οι ερευνητές της Cyble έδωσαν περισσότερα στοιχεία για τις πρόσφατες επιθέσεις με το Qbot, για να βοηθήσουν τους χρήστες να προστατέψουν τις συσκευές τους.
Τα emails που χρησιμοποιούνται στην τελευταία καμπάνια φέρουν ένα συνημμένο αρχείο HTML που κατεβάζει ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης. Αυτό το αρχείο έχει μέσα ένα ISO file.
Ο κωδικός πρόσβασης για το άνοιγμα του αρχείου ZIP εμφανίζεται στο αρχείο HTML. Οι επιτιθέμενοι έχουν κλειδώσει το αρχείο με κωδικό για να αποφύγουν τον εντοπισμό από προγράμματα προστασίας από ιούς.
Το ISO που υπάρχει μέσα στο ZIP, περιέχει ένα αρχείο .LNK, ένα αντίγραφο του ‘calc.exe’ (Windows Calculator) και δύο αρχεία DLL: το WindowsCodecs.dll και ένα payload με το όνομα 7533.dll.
Όταν ο χρήστης ανοίγει το αρχείο ISO, εμφανίζει μόνο το αρχείο .LNK, το οποίο είναι μεταμφιεσμένο ώστε να μοιάζει με ένα PDF που περιέχει σημαντικές πληροφορίες ή ένα αρχείο που ανοίγει με το πρόγραμμα περιήγησης Microsoft Edge.
Δείτε επίσης: Chrome zero-day ευπάθεια χρησιμοποιήθηκε για τη μόλυνση δημοσιογράφων με spyware
Ωστόσο, η συντόμευση οδηγεί στο Calculator app στα Windows, όπως φαίνεται παρακάτω:
Κάνοντας κλικ στη συντόμευση ενεργοποιείται η μόλυνση εκτελώντας το Calc.exe μέσω του Command Prompt.
Όταν φορτωθεί, το Calculator app των Windows 7 αναζητά αυτόματα και επιχειρεί να φορτώσει το νόμιμο WindowsCodecs DLL file. Ωστόσο, δεν ελέγχει για το DLL σε ορισμένα hard coded paths και θα φορτώσει οποιοδήποτε DLL με το ίδιο όνομα, εάν τοποθετηθεί στον ίδιο φάκελο με το εκτελέσιμο αρχείο Calc.exe.
Οι επιτιθέμενοι εκμεταλλεύονται αυτό το ελάττωμα δημιουργώντας το δικό τους κακόβουλο αρχείο WindowsCodecs.dll που εκκινεί το άλλο αρχείο [numbered].dll, το οποίο είναι το κακόβουλο λογισμικό QBot.
Με την εγκατάσταση του QBot μέσω ενός αξιόπιστου προγράμματος όπως το Windows Calculator, κάποιο λογισμικό ασφαλείας ενδέχεται να μην ανιχνεύσει το κακόβουλο λογισμικό κατά τη φόρτωσή του.
Θα πρέπει να σημειωθεί ότι αυτό το ελάττωμα DLL sideloading δεν λειτουργεί πλέον στο Windows 10 Calc.exe και νεότερες εκδόσεις. Γι’ αυτό το λόγο, οι εγκληματίες του κυβερνοχώρου στρέφονται στην έκδοση των Windows 7.
Δείτε επίσης: Τα Windows 11 αποκλείουν τις επιθέσεις RDP brute-force από προεπιλογή
Το Qbot malware υπάρχει για περισσότερο από μια δεκαετία (τουλάχιστον από το 2009). Αν και οι καμπάνιες διανομής του δεν είναι συχνές, έχει συνδεθεί αρκετές φορές με επιθέσεις ransomware (π.χ. RansomExx, Maze, ProLock και Egregor). Πιο πρόσφατα, το κακόβουλο λογισμικό χρησιμοποιήθηκε και για το Black Basta ransomware.
Οι ερευνητές προτείνουν τις εξής μεθόδους προστασίας:
- Μην ανοίγετε email από άγνωστους αποστολείς.
- Αποφύγετε τη λήψη πειρατικού λογισμικού από μη αξιόπιστα sites.
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων όπου είναι δυνατόν.
- Αλλάξτε τους κωδικούς σας μετά από συγκεκριμένα χρονικά διαστήματα.
- Χρησιμοποιήστε γνωστές και αξιόπιστες λύσεις προστασίας από ιούς
- Αποφύγετε να ανοίγετε αναξιόπιστους συνδέσμους και συνημμένα email χωρίς προηγουμένως να επαληθεύσετε τη γνησιότητά τους.
- Ενημερώστε τακτικά τις συσκευές και τις εφαρμογές σας.
- Κάντε αποκλεισμό διευθύνσεων URL που θα μπορούσαν να χρησιμοποιηθούν για τη διάδοση του κακόβουλου λογισμικού, π.χ. Torrent/Warez.
- Παρακολουθήστε το beacon σε επίπεδο δικτύου για να αποκλείσετε την εξαγωγή δεδομένων από κακόβουλο λογισμικό.
- Ενεργοποιήστε λύσεις Data Loss Prevention (DLP) στα συστήματα των εργαζομένων.
Πηγή: www.bleepingcomputer.com
