ClickCease 해커가 DLL 하이재킹 결함을 악용하여 QBot 멀웨어를 배포합니다.

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

해커가 DLL 하이재킹 결함을 악용하여 QBot 멀웨어를 배포합니다.

2022년 11월 28일 TuxCare 홍보팀

공격자들은 피싱 수법을 사용하여 뱅킹 트로이 목마로 시작했지만 모든 기능을 갖춘 멀웨어 드롭퍼로 진화한 Windows 멀웨어인 QBot을 유포하고 있습니다.

프록시라이프의 보안 연구원들에 따르면, 공격자들은 Windows 10 제어판의 DLL 하이재킹 결함을 악용한 후 목표를 달성할 수 있었다고 합니다.

처음에 공격자들은 Windows 7 계산기의 DLL 하이재킹 취약점을 악용하여 QBot 멀웨어를 설치했습니다. 그러나 연구원들은 최근 공격자가 Windows 10 제어판 실행 파일인 control.exe의 DLL 하이재킹 결함을 사용하는 것으로 전환한 것을 관찰했습니다.

DLL 하이재킹은 Windows에서 동적 링크 라이브러리를 로드하는 프로세스를 악용하는 일반적인 공격 방법입니다.

위협 행위자가 프로그램의 필수 DLL과 동일한 이름을 사용하여 악성 DLL을 만들어 실행 파일과 동일한 폴더에 저장하면 프로그램이 대신 악성 DLL을 로드하여 컴퓨터를 감염시킬 수 있습니다. 감염 과정은 Windows 실행 파일이 시작되고 Windows 검색 경로에서 DLL 종속성을 검색할 때 발생합니다.

프록시라이프 연구진이 분석한 사례 중 하나를 보면, 위협 행위자는 훔친 회신 체인 이메일을 사용하여 암호로 보호된 ZIP 압축 파일을 다운로드하는 HTML 파일 첨부 파일을 배포합니다.
HTML 파일에는 Google 드라이브로 위장한 이미지와 자동으로 다운로드되는 ZIP 아카이브의 비밀번호가 표시됩니다. 이 경우 ZIP 아카이브에는 두 번 클릭하면 Windows 10 이상에서 새 드라이브 문자로 자동 열리는 ISO 디스크 이미지가 포함되어 있습니다.

ISO 파일에는 Windows 바로 가기(.LNK) 파일, 'control.exe'(Windows 10 제어판) 실행 파일, 'edputil.dll' 및 'msoffice32.dll'이라는 두 개의 DLL 파일이 포함되어 있습니다. edputil.dll은 DLL 하이재킹에 사용되고 msoffice32.dll은 QBot 멀웨어에 사용됩니다.

ISO의 일부인 Windows 바로 가기(.LNK)는 폴더처럼 보이게 하는 아이콘을 사용합니다. 사용자가 가짜 폴더를 열려고 하면 바로 가기가 ISO 파일에 저장된 Windows 10 제어판 실행 파일인 control.exe를 실행합니다.

악성 edputil.dll DLL이 로드되면, regsvr32.exe msoffice32.dll 명령을 사용하여 QBot 악성 코드(msoffice32.dll)로 디바이스를 감염시킵니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약
해커가 DLL 하이재킹 결함을 악용하여 QBot 멀웨어를 배포합니다.
기사 이름
해커가 DLL 하이재킹 결함을 악용하여 QBot 멀웨어를 배포합니다.
설명
공격자들은 피싱 수법을 사용하여 뱅킹 트로이 목마로 시작되었지만 멀웨어 드롭퍼로 진화한 Windows 멀웨어인 QBot을 유포하고 있습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기