Il phishing di QBot utilizza il sideloading di Windows Calculator per infettare i dispositivi
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 25 Luglio 2022
Tags: #qbot, #phishing, #windows, #calcolatrice
Tags: #qbot, #phishing, #windows, #calcolatrice
Il phishing di QBot utilizza il sideloading di Windows Calculator per infettare i dispositivi
Gli operatori del malware QBot hanno utilizzato la calcolatrice di Windows per caricare lateralmente il payload dannoso sui computer infetti.
Il caricamento laterale delle DLL è un metodo di attacco comune che sfrutta il modo in cui vengono gestite le librerie di collegamento dinamico (DLL) in Windows. Consiste nello spoofing di una DLL legittima e nel posizionarla in una cartella da cui il sistema operativo la carica invece di quella legittima.
QBot, noto anche come Qakbot, è un ceppo di malware di Windows che è iniziato come trojan bancario ma si è evoluto in un contagocce di malware e viene utilizzato da bande di ransomware nelle prime fasi dell'attacco per rilasciare i beacon Cobalt Strike.
Il ricercatore di sicurezza ProxyLife ha recentemente scoperto che Qakbot ha abusato dell'app Calcolatrice di Windows 7 per attacchi di caricamento laterale DLL almeno dall'11 luglio. Il metodo continua ad essere utilizzato nelle campagne di spam.
#Qakbot - obama200 - html > .zip > .iso > .lnk > calc.exe > .dll > .dll
T1574 - Dirottamento dell'ordine di ricerca DLL
cmd.exe /q /c calc.exe
regsvr32 /s C:\Utenti\Utente\AppData\Local\Temp\WindowsCodecs.dll
regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh
IOC'shttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR
— proxylife (@pr0xylife) 11 luglio 2022
Nuova catena di infezione QBot
Per aiutare i difensori a proteggersi da questa minaccia, ProxyLife e i ricercatori di Cyble hanno documentato l'ultima catena di infezioni QBot.
Le e-mail utilizzate nell'ultima campagna contengono un file allegato HTML che scarica un archivio ZIP protetto da password con un file ISO all'interno.
La password per l'apertura del file ZIP è mostrata nel file HTML e il motivo per bloccare l'archivio è eludere il rilevamento dell'antivirus.
L'ISO contiene un file .LNK, una copia di "calc.exe" (calcolatrice di Windows) e due file DLL, ovvero WindowsCodecs.dll e un payload denominato 7533.dll.
Contenuto del file ZIP
Quando l'utente monta il file ISO, viene visualizzato solo il file .LNK, che è mascherato per sembrare un PDF contenente informazioni importanti o un file che si apre con il browser Microsoft Edge.
Tuttavia, il collegamento punta all'app Calcolatrice in Windows, come mostrato nella finestra di dialogo delle proprietà dei file.
Facendo clic sul collegamento si attiva l'infezione eseguendo Calc.exe tramite il prompt dei comandi.
Una volta caricata, la calcolatrice di Windows 7 cerca e tenta automaticamente di caricare il file DLL di WindowsCodecs legittimo. Tuttavia, non verifica la presenza della DLL in determinati percorsi codificati e caricherà qualsiasi DLL con lo stesso nome se inserita nella stessa cartella dell'eseguibile Calc.exe.
Gli attori delle minacce sfruttano questo difetto creando il proprio file WindowsCodecs.dll dannoso che avvia l'altro file [numbered].dll, che è il malware QBot.
Installando QBot tramite un programma affidabile come la Calcolatrice di Windows, alcuni software di sicurezza potrebbero non rilevare il malware quando viene caricato, consentendo agli attori delle minacce di eludere il rilevamento.
Va notato che questo difetto di sideload DLL non funziona più in Windows 10 Calc.exe e versioni successive, motivo per cui gli attori delle minacce raggruppano la versione di Windows 7.
QBot è in circolazione da più di un decennio, con origini che risalgono al 2009 [1, 2, 3, 4]. Sebbene le campagne che lo distribuiscono non siano frequenti, in passato è stato osservato che veniva distribuito dalla botnet Emotet per eliminare i payload del ransomware.
Tra le famiglie di ransomware fornite da QBot ci sono RansomExx, Maze, ProLock ed Egregor. Più recentemente, il malware ha rilasciato il ransomware Black Basta.