 |
Los operadores del malware QBot han estado utilizando la calculadora de Windows para descargar el malware en los ordenadores infectados. La carga lateral de DLL es un método de ataque común que se aprovecha de cómo se manejan las bibliotecas de enlace dinámico (DLL) en Windows. Consiste en suplantar una DLL legítima y colocarla en una carpeta desde la que el sistema operativo la carga en lugar de la legítima. |
QBot, también conocido como Qakbot es una cepa de malware para Windows que comenzó como un troyano bancario pero que evolucionó hasta convertirse en un dropper de malware, y es utilizado por las bandas de ransomware en las primeras etapas del ataque para soltar balizas Cobalt Strike.
Nueva cadena de infección de QBot
Para ayudar a los profesionales a protegerse contra esta amenaza, ProxyLife y los investigadores de Cyble han documentado la última cadena de infección de QBot.
Los correos electrónicos utilizados en la última campaña llevan un archivo HTML adjunto que descarga un archivo ZIP protegido por contraseña con un archivo ISO en su interior.
La contraseña para abrir el archivo ZIP se muestra en el archivo HTML, y la razón para bloquear el archivo es evadir la detección del antivirus.
Adjuntos HTML en los correos electrónicos de spam de QBot
La ISO contiene un archivo .LNK, una copia de 'calc.exe' (calculadora de Windows), y dos archivos DLL, a saber, WindowsCodecs.dll y un payload llamado 7533.dll.
.png)
Contenido del archivo ZIP
Cuando el usuario monta el archivo ISO, sólo muestra el archivo .LNK, que se hace pasar por un PDF con información importante o un archivo que se abre con el navegador Microsoft Edge.
Sin embargo, el acceso directo apunta a la aplicación Calculadora en Windows, como se ve en el diálogo de propiedades de los archivos.
Propiedades del archivo PDF que desencadena la infección
Al hacer clic en el acceso directo se desencadena la infección ejecutando el Calc.exe a través del Símbolo del sistema.
Cuando se carga, la calculadora de Windows 7 busca automáticamente e intenta cargar el archivo legítimo WindowsCodecs DLL. Sin embargo, no busca la DLL en ciertas rutas codificadas, y cargará cualquier DLL con el mismo nombre si se coloca en la misma carpeta que el ejecutable Calc.exe.
Los atacantes se aprovechan de este fallo creando su propio archivo malicioso WindowsCodecs.dll que lanza el otro archivo [numerado].dll, que es el malware QBot.
Al instalar QBot a través de un programa de confianza como la calculadora de Windows, algunos programas de seguridad pueden no detectar el malware cuando se carga, lo que permite a los atacantes evadir la detección.
Cabe señalar que este defecto de carga lateral de DLL ya no funciona en Windows 10 Calc.exe y posteriores, por lo que los atacantes incluyen la versión de Windows 7.
QBot existe desde hace más de una década, y sus orígenes se remontan a 2009 [1, 2, 3, 4]. Aunque las campañas que lo distribuyen no son frecuentes, en el pasado se observó que era distribuido por la red de bots Emotet para lanzar cargas útiles de ransomware.
Entre las familias de ransomware que QBot distribuyó están RansomExx, Maze, ProLock y Egregor. Más recientemente, el malware lanzó el ransomware Black Basta.