L’opération malveillante QBot a commencé à exploiter une faille de piratage DLL dans le programme Windows 10 WordPad pour infecter les ordinateurs, en utilisant le programme légitime pour échapper à la détection par le logiciel de sécurité.
Une DLL est un fichier bibliothèque contenant des fonctions pouvant être utilisées par plusieurs programmes à la fois. Lorsqu’une application est lancée, elle tente de charger toutes les DLL requises.
Pour ce faire, il recherche la DLL dans des dossiers Windows spécifiques et, lorsqu’elle est trouvée, la charge. Cependant, les applications Windows donneront la priorité aux DLL dans le même dossier que l’exécutable, en les chargeant avant toutes les autres.
Le piratage de DLL se produit lorsqu’un acteur malveillant crée une DLL malveillante du même nom qu’une DLL légitime et la place dans le premier chemin de recherche de Windows, généralement le même dossier que l’exécutable. Lorsque cet exécutable est lancé, il charge la DLL du logiciel malveillant plutôt que la DLL légitime et exécute toutes les commandes malveillantes qu’elle contient.
QBot abuse de la faille de détournement de WordPad DLL
QBot, également connu sous le nom de Qakbot, est un logiciel malveillant Windows qui a commencé comme un cheval de Troie bancaire, mais a évolué pour devenir un compte-gouttes de logiciels malveillants. Les gangs de rançongiciels, dont Black Basta, Egregor et Prolock, se sont associés à l’opération de logiciels malveillants pour obtenir un accès initial aux réseaux d’entreprise afin de mener des attaques d’extorsion.
ProxyLife, chercheur en sécurité et membre de Cryptolaemus, a déclaré à Breachtrace qu’une nouvelle campagne de phishing QBot a commencé à exploiter une vulnérabilité de piratage DLL dans l’exécutable Windows 10 WordPad, write.exe.
Bien que Breachtrace n’ait pas vu les e-mails de phishing d’origine, ProxyLife nous a dit qu’ils contenaient un lien pour télécharger un fichier.
Lorsqu’une personne clique sur le lien, elle télécharge une archive ZIP nommée au hasard à partir d’un hôte distant.
Ce fichier ZIP contient deux fichiers : document.exe (l’exécutable Windows 10 WordPad) et un fichier DLL nommé edputil.dll (utilisé pour le piratage de DLL).
Comme vous pouvez le voir dans les propriétés du fichier document.exe, il s’agit simplement d’une copie renommée de l’exécutable Write.exe légitime utilisé pour lancer l’éditeur de documents Windows 10 WordPad.
Lorsque document.exe est lancé, il tente automatiquement de charger un fichier DLL légitime appelé edputil.dll, qui se trouve normalement dans le dossier C:\Windows\System32.
Cependant, lorsque l’exécutable tente de charger edputil.dll, il ne le vérifie pas dans un dossier spécifique et chargera toute DLL du même nom trouvée dans le même dossier que l’exécutable document.exe.
Cela permet aux acteurs de la menace d’effectuer un piratage de DLL en créant une version malveillante de la DLL edputil.dll et en la stockant dans le même dossier que document.exe afin qu’elle soit chargée à la place.
Une fois la DLL chargée, ProxyLife a indiqué à Breachtrace que le malware utilise C:\Windows\system32\curl.exe pour télécharger une DLL camouflée sous forme de fichier PNG à partir d’un hôte distant.
Ce fichier PNG (en fait une DLL) est ensuite exécuté à l’aide de rundll32.exe avec la commande suivante :
rundll32 c:\users\public\default.png,print
QBot fonctionnera désormais discrètement en arrière-plan, volant des e-mails pour les utiliser dans d’autres attaques de phishing et téléchargeant éventuellement d’autres charges utiles, telles que Cobalt Strike (une boîte à outils de post-exploitation utilisée par les acteurs de la menace pour obtenir un accès initial à l’appareil infecté).
Cet appareil sera ensuite utilisé comme point d’ancrage pour se propager latéralement sur tout le réseau, entraînant généralement des vols de données d’entreprise et des attaques de ransomwares.
En installant QBot via un programme fiable tel que Windows 10 WordPad (write.exe), les acteurs de la menace espèrent que le logiciel de sécurité ne signalera pas le logiciel malveillant comme malveillant.
Cependant, l’utilisation de curl.exe signifie que cette méthode d’infection ne fonctionnera que sur Windows 10 et versions ultérieures, car les versions antérieures du système d’exploitation n’incluent pas le programme Curl.
Pour la plupart, cela ne devrait pas être un problème, car les anciennes versions de Windows ont été progressivement supprimées après avoir atteint la fin du support.
À l’heure actuelle, l’opération QBot est passée à d’autres méthodes d’infection au cours des dernières semaines, mais il n’est pas rare qu’elles passent aux tactiques précédentes lors de campagnes ultérieures.