Araştırmacılar, bilgisayar korsanlarının, Qbot kötü amaçlı yazılımını dağıtmak için Windows 10 işletim sistemiyle önceden yüklenmiş olarak gelen WordPad metin düzenleyicisindeki bir kusuru kötüye kullanmaya başladığını iddia etti.
Bir siber güvenlik araştırmacısı ve Cryptolaemus’un bir üyesi olan ProxyLife takma adıyla, bilgisayar korsanlarının WordPad programını kötü amaçlı bir .DLL ile birlikte dağıttığı yeni bir e-posta kampanyası keşfetti.
WordPad başlatıldığında, düzgün çalışması için ihtiyaç duyduğu belirli .DLL dosyalarını arayacaktır. İlk olarak, bulunduğu klasördeki dosyaları arar ve bulursa, bu .DLL dosyaları kötü amaçlı olsa bile otomatik olarak çalıştırır.
DLL kaçırma
Uygulama genellikle “DLL yandan yükleme” veya “DLL kaçırma” olarak adlandırılır ve bu bilinen bir yöntemdir. Daha önce, aynı şeyi yapmak için Hesap Makinesi uygulamasını kullanan bilgisayar korsanları görülüyordu.
Bu özel örnekte, WordPad DLL’yi çalıştırdığında, kötü amaçlı dosya PNG gibi davranan bir DLL indirmek için Curl.exe (System32 klasöründe bulunur) adlı bir yürütülebilir dosyayı kullanır. Bu DLL aslında, daha fazla kimlik avı saldırısında kullanmak üzere e-postaları çalabilen ve örneğin Cobalt Strike gibi ek kötü amaçlı yazılımların indirilmesini başlatabilen eski bir bankacılık truva atı olan Qbot’tur.
Kötü amaçlı DLL dosyalarını çalıştırmak için WordPad veya Hesap Makinesi gibi meşru programları kullanan tehdit aktörleri, herhangi bir virüsten koruma programını atlamayı ve saldırı sırasında gizli kalmayı umuyor.
Ancak, bu yöntem Curl.exe’nin kullanılmasını gerektirdiğinden, önceki sürümlerde bu program önceden yüklenmediğinden yalnızca Windows 10 ve daha yeni sürümlerde çalışır. Eski sürümler zaten çoğunlukla desteğin sonuna geldiği ve kullanıcılar Windows 10 ve Windows 11’e geçtiği için bu pek bir işe yaramıyor.
Şu anda, BleepingComputer, QBot operasyonunun son haftalarda diğer enfeksiyon yöntemlerine geçtiğini bildiriyor.
Aracılığıyla: BleepingBilgisayar