Hakeri su počeli zlorabiti grešku u uređivaču teksta WordPad koji dolazi unaprijed instaliran s operativnim sustavom Windows 10 za distribuciju zlonamjernog softvera Qbot , tvrde istraživači.
Istraživač za cyber sigurnost i član Cryptolaemusa, pod nadimkom ProxyLife otkrio je novu e-mail kampanju u kojoj hakeri distribuiraju program WordPad zajedno sa zlonamjernim .DLL-om.
Kada se WordPad pokrene, tražit će određene .DLL datoteke koje su mu potrebne za ispravno pokretanje. Prvo će potražiti datoteke u istoj mapi u kojoj se nalazi, a ako ih pronađe – automatski će ih pokrenuti, čak i ako su te .DLL datoteke zlonamjerne.
Praksa se obično naziva “DLL sideloading” ili “DLL hijacking” i poznata je metoda. Ranije su hakeri primijećeni kako koriste aplikaciju Kalkulator da rade istu stvar.
U ovom konkretnom slučaju, kada WordPad pokrene DLL, zlonamjerna datoteka koristit će izvršnu datoteku pod nazivom Curl.exe (nalazi se u mapi System32) za preuzimanje DLL-a koji se pretvara da je PNG. Taj DLL zapravo je Qbot, već prastari bankarski trojanac koji može ukrasti e-poštu za korištenje u više phishing napada i pokrenuti preuzimanje dodatnog zlonamjernog softvera, kao što je Cobalt Strike, na primjer.
Korištenjem legitimnih programa, poput WordPada ili Kalkulatora, za pokretanje zlonamjernih DLL datoteka, akteri prijetnji se nadaju da će zaobići sve antivirusne programe i ostati nevidljivi tijekom napada.
Međutim, budući da ova metoda zahtijeva korištenje Curl.exe, radi samo na Windows 10 i novijim verzijama, budući da prethodne verzije nisu imale unaprijed instaliran ovaj program. To ima i logike jer starije verzije ionako uglavnom dolaze do kraja podrške, a korisnici se okreću prema Windows 10 i Windows 11 sustavima.
Mogao bi care utisati toga iza.Mala sala Kraljevi ste.
Ajoooj moja prijateljica ima windows 10.