Support technique
Documentation
Connexion
Nous contacter
Des pirates exploitent une faille de détournement de DLL pour diffuser le malware QBot.
Obanla Opeyemi
28 novembre 2022 - L'équipe d'experts de TuxCare
Les attaquants utilisent des tactiques d'hameçonnage pour diffuser QBot, un logiciel malveillant pour Windows qui, au départ, était un cheval de Troie bancaire, mais qui est devenu un logiciel malveillant complet.
Selon les chercheurs en sécurité de ProxyLife, les attaquants parviennent à leurs fins après avoir exploité une faille de détournement de DLL dans le panneau de configuration de Windows 10.
Initialement, les attaquants ont exploité une faille de détournement de DLL dans le calculateur de Windows 7 pour installer le malware QBot. Cependant, les chercheurs ont récemment observé que les attaquants sont passés à l'utilisation d'une faille de détournement de DLL dans l'exécutable du panneau de configuration de Windows 10, control.exe.
Le détournement de DLL est une méthode d'attaque courante qui exploite le processus de chargement des bibliothèques de liens dynamiques dans Windows.
Un acteur menaçant pourrait créer une DLL malveillante portant le même nom que l'une des DLL requises d'un programme et la stocker dans le même dossier que l'exécutable, le programme chargerait la DLL malveillante à la place et infecterait l'ordinateur. Le processus d'infection a lieu lorsqu'un exécutable Windows est lancé et qu'il est à la recherche de toute dépendance DLL dans le chemin de recherche Windows.
Dans l'un des cas analysés par les chercheurs de ProxyLife, les acteurs de la menace utilisent des e-mails à chaîne de réponse volés pour distribuer un fichier HTML en pièce jointe qui télécharge une archive ZIP protégée par un mot de passe contenant un fichier ISO.
Le fichier HTML affiche une image qui se déguise en Google Drive et un mot de passe pour une archive ZIP qui est téléchargée automatiquement. Dans ce cas, l'archive ZIP contient une image disque ISO qui, lorsqu'elle est doublement cliquée, s'ouvre automatiquement dans une nouvelle lettre de lecteur sous Windows 10 et versions ultérieures.
Le fichier ISO comprend un fichier de raccourci Windows (.LNK), un exécutable " control.exe " (panneau de configuration Windows 10) et deux fichiers DLL nommés " edputil.dll " et " msoffice32.dll ". edputil.dll est utilisé pour le détournement de DLL tandis que msoffice32.dll est utilisé pour le malware QBot.
Le raccourci Windows (.LNK) qui fait partie de l'ISO utilise une icône qui tente de lui donner l'apparence d'un dossier. Lorsqu'un utilisateur tente d'ouvrir le faux dossier, le raccourci lance l'exécutable du panneau de configuration de Windows 10, control.exe, qui est stocké dans le fichier ISO.
Une fois la DLL malveillante edputil.dll chargée, elle infecte le périphérique avec le malware QBot (msoffice32.dll) à l'aide de la commande regsvr32.exe msoffice32.dll.
Les sources de cet article comprennent un article de BleepingComputer.
