En los últimos días, el malware conocido como QBot ha resurgido con una nueva estrategia de ataque que explota una vulnerabilidad de secuestro de DLL en el programa WordPad de Windows. Este reconocido troyano bancario, que se dirige específicamente a dispositivos que ejecutan el sistema operativo Microsoft Windows, ha generado preocupación entre los expertos en ciberseguridad debido a su capacidad de adaptarse y evadir las soluciones de seguridad existentes. |
QBot, también conocido como Qakbot, ha sido previamente vinculado a campañas de phishing y se ha destacado por su habilidad para desplegar otros tipos de malware en los dispositivos infectados. Sin embargo, lo que hace que este malware sea particularmente peligroso es su capacidad para evadir la detección y adaptarse a nuevas técnicas de ataque.
En esta nueva campaña de QBot, los operadores del malware han optado por utilizar correos electrónicos con enlaces maliciosos como vector de infección. Cuando los usuarios hacen clic en estos enlaces, se descarga automáticamente un archivo ZIP que contiene un ejecutable de WordPad de Windows 10 y un archivo DLL malicioso llamado "edputil.dll".
Los investigadores en ciberseguridad han descubierto que este archivo DLL es en realidad una copia renombrada del ejecutable legítimo "Write.exe", que se utiliza para abrir el editor de documentos WordPad. Este último es una aplicación de procesamiento de texto ampliamente utilizada en los sistemas Windows.
El modus operandi de QBot radica en el secuestro de DLL, una técnica que implica la sustitución de un archivo DLL legítimo por una versión maliciosa. En este caso, los atacantes colocan una versión maliciosa de "edputil.dll" en la misma carpeta que el ejecutable. Cuando el documento es ejecutado, el malware intenta cargar el archivo DLL legítimo desde la carpeta "C:\Windows\System32". Sin embargo, en lugar de buscarlo en una ubicación específica, el ejecutable carga cualquier DLL con el mismo nombre que se encuentre en la carpeta "document.exe".
Una vez que se ha llevado a cabo el secuestro de DLL, el malware utiliza "curl.exe" para descargar una DLL adicional desde un servidor remoto, la cual se hace pasar por un archivo PNG. Posteriormente, esta DLL se ejecuta utilizando "rundll32.exe" con un comando específico. QBot suele operar en segundo plano y tiene como objetivo desplegar cargas útiles de Cobalt Strike, una herramienta de pruebas de penetración, y robar correos electrónicos para utilizarlos en futuros ataques de phishing.
Lo preocupante de esta nueva amenaza es que también tiene la capacidad de utilizar los dispositivos comprometidos como puntos de apoyo para propagarse lateralmente en la red y, en última instancia, lanzar ataques de ransomware. Al utilizar un programa legítimo como WordPad, los ciberdelincuentes tienen mayores oportunidades de eludir la detección del sistema, lo que dificulta su detección y eliminación.
Es importante destacar que este método de infección está dirigido exclusivamente a sistemas que ejecutan Windows 10 o versiones posteriores. Por lo tanto, se recomienda encarecidamente a los usuarios mantener su software actualizado y parcheado para mitigar posibles ataques de QBot.
Además, se aconseja a todos los administradores de sistemas que utilicen soluciones de seguridad confiables para protegerse contra este tipo de ataques. La implementación de medidas de seguridad adicionales, como firewalls y soluciones de detección de intrusos, también puede ser beneficiosa para prevenir la propagación de malware en la red y evitar posibles consecuencias graves.
La aparición de QBot y su capacidad para adaptarse y evadir soluciones de seguridad resalta la importancia de la educación en ciberseguridad y la conciencia de los usuarios sobre las amenazas en línea. La combinación de buenas prácticas de seguridad, actualizaciones regulares del software y el uso de soluciones confiables puede ser fundamental para protegerse contra ataques maliciosos como el malware QBot.
Fuente: https://www.bleepingcomputer.com/news/security/qbot-malware-abuses-windows-wordpad-exe-to-infect-devices/?&web_view=true, https://www.techradar.com/news/this-new-malware-hijacks-windows-wordpad-to-avoid-detection