Los piratas informáticos han comenzado a abusar de una falla en el editor de texto WordPad que viene precargado con el sistema operativo Windows 10 para distribuir el malware Qbot, afirman los investigadores.
Un investigador de ciberseguridad y miembro de Cryptolaemus, bajo el alias ProxyLife, descubrió una nueva campaña de correo electrónico en la que los piratas informáticos distribuyen el programa WordPad junto con un .DLL malicioso.
Cuando se inicia WordPad, buscará ciertos archivos .DLL que necesita para ejecutarse correctamente. Primero, buscará los archivos en la misma carpeta en la que reside y, si los encuentra, los ejecutará automáticamente, incluso si esos archivos .DLL son maliciosos.
secuestro de DLL
La práctica generalmente se denomina «carga lateral de DLL» o «secuestro de DLL» y es un método conocido. Anteriormente, se vio a los piratas informáticos usando la aplicación Calculadora para hacer lo mismo.
En este caso particular, cuando WordPad ejecuta la DLL, el archivo malicioso usará un ejecutable llamado Curl.exe (que se encuentra en la carpeta System32) para descargar una DLL que finge ser PNG. Esa DLL es en realidad Qbot, un antiguo troyano bancario que puede robar correos electrónicos para usarlos en más ataques de phishing e iniciar la descarga de malware adicional, como Cobalt Strike, por ejemplo.
Mediante el uso de programas legítimos, como WordPad o Calculator, para ejecutar los archivos DLL maliciosos, los actores de amenazas esperan eludir cualquier programa antivirus y permanecer sigilosos durante el ataque.
Sin embargo, como este método requiere el uso de Curl.exe, solo funciona en Windows 10 y versiones más recientes, ya que las versiones anteriores no tenían este programa preinstalado. Eso no sirve de mucho, ya que las versiones anteriores en su mayoría están llegando al final del soporte de todos modos, y los usuarios se están moviendo hacia Windows 10 y Windows 11.
En este momento, informa BleepingComputer, la operación QBot ha pasado a otros métodos de infección en las últimas semanas.
Vía: BleepingComputer