DLL hijacking, QBot adotta questo metodo di elusione per l’infezione

da Salvatore Lombardo
0 commenti 2 minuti leggi

Una nuova campagna malspam ha iniziato ad abusare di una vulnerabilitร  di DLL hijacking nellโ€™eseguibile WordPad di Windows 10 per distribuire il malware QBot.

Cosโ€™รจ un file DLL

DLL รจ lโ€™acronimo di Dynamic Link Library ovvero un file che contiene istruzioni e regole che i programmi utilizzano per funzionare su un dispositivo .

DLL hijacking

Il DLL hijacking si verifica quando un attaccante crea una DLL malevola con lo stesso nome di una legittima e la inserisce nel path di ricerca di Windows, in genere la stessa cartella in cui รจ presente lโ€™eseguibile. Una volta avviato lโ€™eseguibile, questo caricherร  la DLL contraffatta anzichรฉ quella legittima ed eseguirร  le istruzioni dannose in essa contenuti.

La catena dโ€™infezione QBot

Secondo i ricercatori di Cryptolaemus, la catena dโ€™infezione per una recente iterazione di QBot partirebbe da un link probabilmente presente in una e-mail di phishing che scaricherebbe da un host remoto un archivio ZIP con due file:

Annunci
  • document.exe, una copia dellโ€™eseguibile WordPad di Windows 10;
  • un file DLL legittimo edputil.dll, modificato per il DLL hijacking.

document.exe, una volta eseguito tenterร  automaticamente di caricare la DLL modificata e presente nella stessa cartella dello stesso eseguibile. Tale DLL tramite il comando legittimo Windows curl.exe scaricherร  unโ€™altra DLL mascherata da file PNG da un host remoto eseguendola utilizzando questa volta il comando Windows rundll32.exe.

20230529 105157
Fonte Cryptolaemus

QBot

Una volta installato, รจ noto che QBot funzioni in background, rubando e-mail da utilizzare in ulteriori attacchi di phishing, diffondendosi lateralmente in rete e scaricando altri payload come i temutissimi ransomware.

Prevenzione

Le DLL sono un componente fondamentale del sistema operativo Windows. Tuttavia, questo componente rappresenta anche un rischio per la sicurezza in quanto รจ soggetto a possibile sfruttamento da parte dei criminali informatici.

Pertanto per prevenire attacchi del genere si consiglia di:

  • Utilizzare software proveniente solo da fonti affidabili.
  • dotare i propri dispositivi di strumenti di protezione.
  • Mantenere sistemi e programmi aggiornati.
  • Evitare di utilizzare account con privilegi amministrativi per eseguire software di terze parti non attendibili.
  • Svolgere regolarmente corsi di formazione sulla consapevolezza della sicurezza e lโ€™esistenza di tali minacce.

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara