Les pirates ont commencé à exploiter une faille dans l’éditeur de texte WordPad qui est préchargé avec le système d’exploitation Windows 10 pour distribuer le malware Qbot, ont affirmé des chercheurs.
Un chercheur en cybersécurité et membre de Cryptolaemus, alias ProxyLife, a découvert une nouvelle campagne de courrier électronique dans laquelle des pirates distribuent le programme WordPad avec une DLL malveillante.
Lorsque WordPad est lancé, il recherche certains fichiers .DLL dont il a besoin pour fonctionner correctement. Tout d’abord, il recherchera les fichiers dans le même dossier qu’il réside, et s’il les trouve, il les exécutera automatiquement, même si ces fichiers .DLL sont malveillants.
Piratage de DLL
La pratique est généralement appelée « chargement latéral de DLL » ou « détournement de DLL » et c’est une méthode connue. Auparavant, des pirates informatiques utilisaient l’application Calculatrice pour faire la même chose.
Dans ce cas particulier, lorsque WordPad exécute la DLL, le fichier malveillant utilisera un exécutable appelé Curl.exe (trouvé dans le dossier System32) pour télécharger une DLL se faisant passer pour un PNG. Cette DLL est en fait Qbot, un ancien cheval de Troie bancaire qui peut voler des e-mails pour les utiliser dans d’autres attaques de phishing et initier le téléchargement de logiciels malveillants supplémentaires, tels que Cobalt Strike, par exemple.
En utilisant des programmes légitimes, tels que WordPad ou Calculator, pour exécuter les fichiers DLL malveillants, les pirates espèrent contourner tous les programmes antivirus et rester furtifs pendant l’attaque.
Cependant, comme cette méthode nécessite l’utilisation de Curl.exe, elle ne fonctionne que sur Windows 10 et les versions plus récentes, car les versions précédentes n’avaient pas ce programme préinstallé. Cela ne sert pas à grand-chose car les anciennes versions arrivent de toute façon à la fin du support, et les utilisateurs se tournent vers Windows 10 et Windows 11.
À l’heure actuelle, rapporte BleepingComputer, l’opération QBot est passée à d’autres méthodes d’infection au cours des dernières semaines.
Via : BleepingComputer