Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los hackers aprovechan un fallo de secuestro de DLL para distribuir el malware QBot
28 de noviembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Los atacantes están utilizando tácticas de phishing para propagar QBot, un malware para Windows que comenzó como un troyano bancario pero que evolucionó hasta convertirse en un completo gotero de malware.
Según los investigadores de seguridad de ProxyLife, los atacantes son capaces de lograr sus objetivos después de explotar un fallo de secuestro DLL en el Panel de Control de Windows 10.
Inicialmente, los atacantes aprovecharon una vulnerabilidad de secuestro de DLL en la Calculadora de Windows 7 para instalar el malware QBot. Sin embargo, los investigadores observaron recientemente que los atacantes pasaron a utilizar un fallo de secuestro de DLL en el ejecutable del Panel de control de Windows 10, control.exe.
El secuestro de DLL simplemente implica un método de ataque común que explota el proceso de carga de bibliotecas de vínculos dinámicos en Windows.
Un actor de amenazas podría crear una DLL maliciosa utilizando el mismo nombre que una de las DLL necesarias de un programa y almacenarla en la misma carpeta que el ejecutable, el programa cargaría la DLL maliciosa en su lugar e infectaría el ordenador. El proceso de infección tiene lugar cuando se lanza un ejecutable de Windows y éste busca cualquier DLL dependiente en la ruta de búsqueda de Windows.
En uno de los casos analizados por los investigadores de ProxyLife, los actores de la amenaza utilizan correos electrónicos de cadena de respuesta robados para distribuir un archivo HTML adjunto que descarga un archivo ZIP protegido por contraseña con un archivo ISO en su interior.
El archivo HTML muestra una imagen que se disfraza de Google Drive y una contraseña para un archivo ZIP que se descarga automáticamente. En este caso, el archivo ZIP contiene una imagen de disco ISO que, al hacer doble clic, se abre automáticamente en una nueva letra de unidad en Windows 10 y versiones posteriores.
El archivo ISO incluye un archivo de acceso directo de Windows (.LNK), un ejecutable 'control.exe' (Panel de control de Windows 10) y dos archivos DLL llamados 'edputil.dll' y 'msoffice32.dll'. edputil.dll se utiliza para el secuestro de DLL, mientras que msoffice32.dll se utiliza para el malware QBot.
El acceso directo de Windows (.LNK) que forma parte de la ISO hace uso de un icono que intenta que parezca una carpeta. Una vez que el usuario intenta abrir la carpeta falsa, el acceso directo lanza el ejecutable del panel de control de Windows 10, control.exe, que está almacenado en el archivo ISO.
Una vez cargada la DLL maliciosa edputil.dll, infecta el dispositivo con el malware QBot (msoffice32.dll) mediante el comando regsvr32.exe msoffice32.dll.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
