Windows 10 用の WordPad アプリケーションには DLL ハイジャックの脆弱性が含まれており、QBot マルウェアの動作がセキュリティ製品による検出を回避しながらマシンに感染するためにこの脆弱性を利用し始めています。

DLL は、多くのプログラムで同時に使用できるルーチンを含むライブラリ ファイルです。 プログラムは、起動時に必要な DLL をロードしようとします。

これは、指定された Windows ディレクトリで DLL を検索し、見つかったときにそれをロードすることによって行われます。 ただし、実行可能ファイルと同じ場所にある DLL は、Windows プログラムによって最初にロードされ、他のすべての DLL よりも優先されます。

You Might Also Like
人類は、クロードAI学習モードの可用性を拡大します
人類は、クロードAI学習モードの可用性を拡大します
Windows 11でリモートデスクトップを有効にして使用するにはどうすればよいですか?
Windows 11でリモートデスクトップを有効にして使用するにはどうすればよいですか?
Character AI フィルターについて知っておくべきこと
Character AI フィルターについて知っておくべきこと

脅威アクターが有効な DLL と同じ名前の悪意のある DLL を作成し、それを初期の Windows 検索パス (多くの場合、実行可能ファイルと同じ場所) に挿入する場合、このプロセスは DLL ハイジャックとして知られています。 その実行可能ファイルが実行されると、信頼できる DLL の代わりに悪意のある DLL がロードされ、その中に含まれている悪意のある命令が実行されます。

QBot マルウェア

QBot マルウェアがフィッシング攻撃のために電子メールを盗む

QBot (Qakbot とも呼ばれる) と呼ばれる Windows スパイウェアは、最初はバンキング トロイの木馬として始まりましたが、後にマルウェア ドロッパーに変わりました。 Black Basta、Egregor、Prolock などのランサムウェア ギャングは、マルウェア オペレーションの助けを借りて、まずビジネス ネットワークに侵入し、恐喝キャンペーンを開始することができました。

セキュリティ専門家であり Cryptolaemus のメンバーである ProxyLife は、Windows 10 の write.exe ワードパッド実行ファイルにある DLL ハイジャックの脆弱性を利用して新たな QBot フィッシング活動が開始されたと BleepingComputer に伝えました。

ProxyLife は、最初のフィッシングメールにはファイルをダウンロードするリンクが含まれていると報告しましたが、BleepingComputer はそれらのメールを受信して​​いません。

誰かがリンクをクリックすると、リモート サイトからランダムな名前の ZIP アーカイブがダウンロードされます。

Windows 10 ワードパッド アプリケーション document.exe と DLL ファイル edputil.dll (DLL ハイジャックに使用) は両方ともこの ZIP パッケージに含まれています。

QBot マルウェア

Windows 10 ワードパッド ドキュメント エディターの起動に使用される正規の Write.exe 実行可能ファイルは、基本的に、 ドキュメント.exe ファイルの属性からわかるように、

QBot マルウェア

edputil.dll という名前の正規の DLL ファイル。通常、 C:Windowsシステム32 フォルダーは、document.exe が実行されるとすぐにロードされます。

ただし、実行可能ファイルは任意のファイルをロードします。 DLL 指定されたフォルダー内で edputil.dll を検索するのではなく、edputil.dll をロードしようとするときに、document.exe 実行可能ファイルと同じ名前で同じ場所に配置されます。

悪意のある edputil.dll DLL が作成され、それが document.exe と同じ場所に保存されるため、脅威アクターは DLL ハイジャックを実行できるようになります。

  Riot クライアントが開かない場合はどうすればよいですか?

ProxyLife は、DLL がロードされるときにマルウェアが C: を利用することを BleepingComputer に通知しました。Windowssystem32curlEXE PNG ファイルに見せかけた DLL をリモート サーバーから取得します。

次に、この PNG ファイル (実際には DLL) に対して rundll32.exe によって次のコマンドが実行されます。

rundll32 c:userspublicdefault.png,print

Cobalt Strike (攻撃者が最初に侵害されたデバイスへのアクセスを取得するために使用するエクスプロイト後のツールキット) およびその他のペイロードが最終的にダウンロードされると、 Qボット はバックグラウンドで静かに動作し続け、他のフィッシング攻撃に使用するために電子メールをキャプチャします。

このデバイスを拠点として使用された後、ネットワークに横方向に侵入され、ランサムウェア攻撃やビジネス データの盗難が発生することがよくあります。

QBot マルウェア

攻撃者は、インストールすることで次のことを望んでいます。 Qボット Windows 10 ワードパッド (write.exe) などの信頼できるツールを使用すると、セキュリティ製品はウイルスを有害なものとして識別しません。

ただし、以前のオペレーティング システム バージョンには Curl ソフトウェアが含まれていないため、curl.exe を使用すると、この感染手法は次のバージョンでのみ機能することになります。 Windows 10以降。

以前のバージョンの Windows はサポート終了後に段階的に廃止されているため、通常はこれが問題になることはありません。 現在、QBot の運用はここ数週間で他の感染手法に切り替えられていますが、その後のキャンペーンでは以前の戦略に戻るのが通常です。

セキュリティに興味がある場合は、Twitter フィッシング攻撃: 検証手数料の予期せぬ副作用、または Battle net down Battle net DDoS 攻撃の説明 (10 月 11 日) をチェックすることをお勧めします。

Source: QBot マルウェアは WordPad の DLL ロード メカニズムを悪用します