Понедельник, 26 февраля, 2024

Уязвимость WordPad: Распространение вируса Qbot

Уязвимость была обнаружена в текстовом редакторе WordPad, который поставляется в комплекте с операционной системой Windows 10. Киберпреступники используют эту уязвимость для распространения вируса Qbot, сообщает эксперт из сообщества Cryptolaemus.

При запуске WordPad происходит поиск необходимых для работы программы файлов DLL. Поиск начинается с папки, где находится исполняемый файл WordPad. Если вредоносные DLL-файлы обнаруживаются, они автоматически запускаются, несмотря на свою вредоносность. Этот метод атаки называется «подгрузкой» или «перехватом» DLL и является достаточно известной и распространенной практикой. Ранее злоумышленники использовали аналогичную уязвимость в программе «Калькулятор» в операционной системе Windows.

Когда вредоносный DLL-файл запускается WordPad, он обращается к исполняемому файлу Curl.exe из папки System32. Curl.exe используется для загрузки вредоносного DLL-файла, который притворяется изображением в формате PNG. Однако этот DLL-файл на самом деле является старым троянским вирусом Qbot. Он перехватывает электронные письма, помогает злоумышленникам организовывать фишинговые атаки и загружает другие вирусы, например, Cobalt Strike.

Основная опасность этого метода атаки заключается в том, что он использует ресурсы легитимной программы WordPad. Это может означать, что антивирусные программы не обнаружат атаку, и она пройдет незамеченной. Еще одним звеном в этой атаке является утилита Curl.exe, которая отсутствовала в стандартной комплектации Windows до версии 10.

Таким образом, обнаруженная уязвимость в WordPad позволяет злоумышленникам распространять вирус Qbot, используя перехват DLL-файлов. Это может привести к перехвату электронных писем и организации фишинговых атак. Пользователи подвергаются риску, так как атака использует ресурсы легитимной программы, что может пройти незамеченной антивирусом. Утилита Curl.exe также играет роль в этой атаке и может быть использована для загрузки других вредоносных программ.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

Latest article

Must read