Sommario
Una nuova campagna malspam ha iniziato ad abusare di una vulnerabilitร di DLL hijacking nellโeseguibile WordPad di Windows 10 per distribuire il malware QBot.
Cosโรจ un file DLL
DLL รจ lโacronimo di Dynamic Link Library ovvero un file che contiene istruzioni e regole che i programmi utilizzano per funzionare su un dispositivo .
DLL hijacking
Il DLL hijacking si verifica quando un attaccante crea una DLL malevola con lo stesso nome di una legittima e la inserisce nel path di ricerca di Windows, in genere la stessa cartella in cui รจ presente lโeseguibile. Una volta avviato lโeseguibile, questo caricherร la DLL contraffatta anzichรฉ quella legittima ed eseguirร le istruzioni dannose in essa contenuti.
La catena dโinfezione QBot
Secondo i ricercatori di Cryptolaemus, la catena dโinfezione per una recente iterazione di QBot partirebbe da un link probabilmente presente in una e-mail di phishing che scaricherebbe da un host remoto un archivio ZIP con due file:
- document.exe, una copia dellโeseguibile WordPad di Windows 10;
- un file DLL legittimo edputil.dll, modificato per il DLL hijacking.
document.exe, una volta eseguito tenterร automaticamente di caricare la DLL modificata e presente nella stessa cartella dello stesso eseguibile. Tale DLL tramite il comando legittimo Windows curl.exe scaricherร unโaltra DLL mascherata da file PNG da un host remoto eseguendola utilizzando questa volta il comando Windows rundll32.exe.
QBot
Una volta installato, รจ noto che QBot funzioni in background, rubando e-mail da utilizzare in ulteriori attacchi di phishing, diffondendosi lateralmente in rete e scaricando altri payload come i temutissimi ransomware.
Prevenzione
Le DLL sono un componente fondamentale del sistema operativo Windows. Tuttavia, questo componente rappresenta anche un rischio per la sicurezza in quanto รจ soggetto a possibile sfruttamento da parte dei criminali informatici.
Pertanto per prevenire attacchi del genere si consiglia di:
- Utilizzare software proveniente solo da fonti affidabili.
- dotare i propri dispositivi di strumenti di protezione.
- Mantenere sistemi e programmi aggiornati.
- Evitare di utilizzare account con privilegi amministrativi per eseguire software di terze parti non attendibili.
- Svolgere regolarmente corsi di formazione sulla consapevolezza della sicurezza e lโesistenza di tali minacce.