El phishing de QBot abusa del EXE del Panel de control de Windows para infectar dispositivos

Botnet

Los correos electrónicos de phishing que distribuyen el malware QBot utilizan una falla de secuestro de DLL en el Panel de control de Windows 10 para infectar computadoras, probablemente como un intento de evadir la detección por parte del software de seguridad.

El secuestro de DLL es un método de ataque común que aprovecha cómo se cargan las bibliotecas de vínculos dinámicos (DLL) en Windows.

Cuando se inicia un ejecutable de Windows, buscará cualquier dependencia de DLL en la ruta de búsqueda de Windows. Sin embargo, si un actor de amenazas crea una DLL maliciosa con el mismo nombre que una de las DLL requeridas del programa y la almacena en la misma carpeta que el ejecutable, el programa cargaría esa DLL maliciosa e infectaría la computadora.

QBot, también conocido como Qakbot, es un malware de Windows que comenzó como un troyano bancario, pero evolucionó hasta convertirse en un cuentagotas de malware con todas las funciones. Las pandillas de ransomware, incluidas Black Basta,  Egregor y  Prolock , también usan el malware para obtener acceso inicial a las redes corporativas.

En julio, el investigador de seguridad ProxyLife descubrió que los actores de amenazas estaban explotando una  vulnerabilidad de secuestro de DLL en la calculadora de Windows 7  para instalar el malware QBot.

Esta semana, ProxyLife le dijo a BleepingComputer que los atacantes han pasado a usar una falla de secuestro de DLL en el ejecutable del Panel de control de Windows 10, control.exe.

Abusar del panel de control de Windows

En una campaña de phishing vista por ProxyLife, los actores de la amenaza utilizan correos electrónicos de cadena de respuesta robados para distribuir un archivo adjunto HTML que descarga un archivo ZIP protegido por contraseña con un archivo ISO dentro.

Correo electrónico de phishing de QBot en una nueva campaña
Correo electrónico de phishing de QBot en una nueva campaña

El archivo HTML, con un nombre similar a ‘RNP_[número]_[número].html, muestra una imagen que pretende ser Google Drive y una contraseña para un archivo ZIP que se descarga automáticamente, como se muestra a continuación.

Archivo adjunto HTML en correos electrónicos no deseados de QBot
Archivo adjunto HTML en correos electrónicos no deseados de QBot

Este archivo ZIP contiene una imagen de disco ISO que, al hacer doble clic, se abrirá automáticamente en una nueva letra de unidad en Windows 10 y versiones posteriores.

Este archivo ISO contiene un archivo de acceso directo de Windows (.LNK), un  ejecutable ‘control.exe’  (Panel de control de Windows 10) y dos archivos DLL llamados  edputil.dll  (utilizado para el secuestro de DLL) y  msoffice32.dll  (malware QBot).

Contenido de la imagen ISO
Contenido de la imagen ISO

El acceso directo de Windows (.LNK) incluido en la ISO utiliza un icono que intenta que parezca una carpeta.

Sin embargo, cuando un usuario intenta abrir esta carpeta falsa, el acceso directo inicia el ejecutable del Panel de control de Windows 10, control.exe, que se almacena en el archivo ISO, como se muestra a continuación.

Acceso directo de Windows que desencadena la infección de QBot
Acceso directo de Windows que desencadena la infección de QBot

Cuando se inicia control.exe, automáticamente intentará cargar la DLL legítima edputil.dll, que se encuentra en la carpeta C:\Windows\System32. Sin embargo, no busca la DLL en carpetas específicas y cargará cualquier DLL con el mismo nombre si se coloca en la misma carpeta que el ejecutable control.exe.

Como los actores de la amenaza están agrupando una DLL maliciosa edputil.dll en la misma carpeta que control.exe, esa DLL maliciosa se cargará en su lugar.

Una vez cargada, la  DLL maliciosa edputil.dll infecta el dispositivo con el malware QBot ( msoffice32.dll ) usando el comando regsvr32.exe msoffice32.dll.

Al instalar QBot a través de un programa confiable como el Panel de control de Windows 10, es posible que el software de seguridad no marque el malware como malicioso, lo que le permite evadir la detección.

QBot ahora se ejecutará silenciosamente en segundo plano, robando correos electrónicos para usarlos en ataques de phishing y descargando cargas adicionales como  Brute Ratel  o  Cobalt Strike .

Brute Ratel y Cobalt Strike son kits de herramientas posteriores a la explotación que los actores de amenazas utilizan para obtener acceso remoto a las redes corporativas.

Este acceso remoto comúnmente conduce al robo de datos corporativos y ataques de ransomware.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.