Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. QBot Kötü Amaçlı Yazılımı, Windows Wordpad’i Hedef Alıyor

QBot Kötü Amaçlı Yazılımı, Windows Wordpad’i Hedef Alıyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 3 dk okuma süresi
206 0
Qbot kötü amaçlı yazılım 1

Yeni ortaya çıkan Qbot kötü amaçlı yazılımı , Windows wordpad’i hedef alıyor

Yeni bir QBot kötü amaçlı yazılımı kampanyası, güvenlik araçları tarafından algılanmasını önlemek için yardımcı uygulama Wordpad’deki DLL  kusurundan yararlanıyor. Meşru Windows programlarını kötüye kullanmak siber suçlular arasında popüler bir trend haline geliyor.

Kampanyanın kötüye kullanılması

Bir güvenlik uzmanı ve Cryptolaemus üyesi ProxyLife, yeni QBot kimlik avı kampanyasının WordPad yürütülebilir dosyasındaki bir DLL kkusurunu kötüye kullandığını iddia ediyor.
Kampanya, bir dosyayı indirmek için bir bağlantı içeren kimlik avı e-postalarını kullanır. Bir kullanıcı bağlantıyı tıkladığında, uzak bir ana bilgisayardan rastgele adlandırılmış bir ZIP arşivi indirir.
Bu ZİP dosyası iki dosya içerir, belge [.]exe (WordPad yürütülebilir) ve bir DLL dosyası, edputil [.] dll (DLL kaçırma için). Belge[.]exe, meşru Yazının yeniden adlandırılmış bir kopyasıdır[.] exe.

Saldırı Detayları

Qbot kötü amaçlı yazılım

belge[.]exe yürütülür, otomatik olarak gerçek bir DLL dosyası yüklemeye çalışır edputil[.] genellikle depolanmış olan dll C:\Windows\System32 klasör.
Yürütülebilir dosyayı yüklemeye çalıştığında edputil[.] dll, belirlenen klasörde olup olmadığını kontrol eder. Saldırgan, edputil’in kötü amaçlı bir sürümünü kullanır[.] dll DLL, uygulama tarafından kontrol edilen aynı klasörde tutarak.
Tarama sırasında, kötü amaçlı bir DLL bulunduğunda, bu kötü amaçlı dll’yi kullanarak winword’ü yükler. DLL yüklendikten sonra curl[ kullanır.] PNG dosyası olarak gizlenmiş başka bir DLL dosyasını indirmek için exe. Bu DLL dosyası QBot kötü amaçlı yazılımını başlatır.

İlginizi Çekebilecek Yazımız: Jetpack Eklentisinde Güvenlik Açığı Ortaya Çıktı

Saldırı Aşama Sonrası İstismar Edilmesi

QBot, arka planda çalışırken, daha fazla kimlik avı saldırısı için e-postaları çalar ve hedeflenen sisteme ilk erişimi sağlamak için kullanılan sömürü sonrası bir araç seti olan Cobalt Strike gibi diğer yükleri indirir.
Virüslü sistem daha sonra ağ boyunca yanal olarak yayılmak için kullanılır. Bu tür erişim genellikle kurumsal veri hırsızlığına ve fidye yazılımı saldırılarına yol açar.

Sonuç

QBot kötü amaçlı yazılım operatörleri, dağıtım yöntemlerini hızlı bir şekilde değiştirmeleriyle zaten biliniyor ve Windows 10 WordPad yürütülebilir dosyalarının kötüye kullanılması aynı stratejiye karşılık geliyor. Ayrıca, meşru Windows programlarının ve yanal hareket yeteneklerinin kullanılması onu kısır bir tehdit haline getirir.

Haber Kaynağı: Cyware Social

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir