Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker nutzen DLL-Hijacking-Schwachstelle zur Verbreitung von QBot-Malware aus
28. November 2022. TuxCare PR Team
Angreifer nutzen Phishing-Taktiken, um QBot zu verbreiten, eine Windows-Malware, die als Banking-Trojaner begann, sich aber zu einem vollwertigen Malware-Dropper entwickelt hat.
Laut den Sicherheitsforschern von ProxyLife sind die Angreifer in der Lage, ihre Ziele zu erreichen, nachdem sie einen DLL-Hijacking-Fehler in der Systemsteuerung von Windows 10 ausgenutzt haben.
Ursprünglich nutzten die Angreifer eine DLL-Hijacking-Schwachstelle in Windows 7 Calculator aus, um die QBot-Malware zu installieren. Die Forscher beobachteten jedoch kürzlich, dass die Angreifer dazu übergingen, eine DLL-Hijacking-Schwachstelle in der ausführbaren Datei control.exe der Systemsteuerung von Windows 10 zu nutzen.
Beim DLL-Hijacking handelt es sich um eine gängige Angriffsmethode, die den Prozess des Ladens von Dynamic Link Libraries in Windows ausnutzt.
Ein Bedrohungsakteur könnte eine bösartige DLL mit demselben Namen wie eine der erforderlichen DLLs eines Programms erstellen und sie im selben Ordner wie die ausführbare Datei speichern. Der Infektionsprozess findet statt, wenn eine ausführbare Windows-Datei gestartet wird und im Windows-Suchpfad nach DLL-Abhängigkeiten sucht.
In einem der von den ProxyLife-Forschern analysierten Fälle verwenden die Bedrohungsakteure gestohlene Antwortketten-E-Mails, um einen HTML-Dateianhang zu verbreiten, der ein passwortgeschütztes ZIP-Archiv mit einer ISO-Datei herunterlädt.
Die HTML-Datei zeigt ein Bild, das sich als Google Drive tarnt, und ein Passwort für ein ZIP-Archiv, das automatisch heruntergeladen wird. Das ZIP-Archiv enthält in diesem Fall ein ISO-Datenträger-Image, das bei einem Doppelklick automatisch in einem neuen Laufwerksbuchstaben in Windows 10 und höher geöffnet wird.
Die ISO-Datei enthält eine Windows-Verknüpfungsdatei (.LNK), eine ausführbare Datei "control.exe" (Windows 10 Control Panel) und zwei DLL-Dateien namens "edputil.dll" und "msoffice32.dll". edputil.dll wird für DLL-Hijacking verwendet, während msoffice32.dll für QBot-Malware verwendet wird.
Die Windows-Verknüpfung (.LNK), die Teil der ISO-Datei ist, verwendet ein Symbol, das versucht, es wie einen Ordner aussehen zu lassen. Sobald ein Benutzer versucht, den gefälschten Ordner zu öffnen, startet die Verknüpfung die ausführbare Datei control.exe der Windows 10-Systemsteuerung, die in der ISO-Datei gespeichert ist.
Sobald die bösartige DLL edputil.dll geladen ist, infiziert sie das Gerät mit der QBot-Malware (msoffice32.dll) über den Befehl regsvr32.exe msoffice32.dll.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
