Il ricercatore ProxyLife ha scoperto un nuovo attacco effettuato con il famigerato QBot, inizialmente noto come trojan bancario e successivamente diventato un dropper. La tecnica è simile a quella già utilizzata a fine luglio. Stavolta è stato sfruttato il Pannello di controllo di Windows 10.
QBot usa il Pannello di controllo per installare malware
Ignoti cybercriminali hanno effettuato l’attacco di phishing mediante la tecnica “reply-chain email”. In pratica sono riusciti ad inserirsi nella discussione utilizzando indirizzi legittimi. Nel messaggio viene consigliato di leggere un file HTML allegato (indicato con l’icona di Chrome). Quando aperto, il file HTML mostra l’icona di Google Drive e la password di un archivio ZIP che viene scaricato automaticamente.
L’archivio ZIP contiene un’immagine ISO che, a sua volta, contiene quattro file: un .LNK, l’eseguibile control.exe
e due DLL, ovvero edputil.dll
e msoffice32.dll
. Quando l’utente clicca sul file .LNK viene lanciato l’eseguibile del Pannello di controllo di Windows 10 (control.exe
). Quest’ultimo esegue edputil.dll
presente nella stessa directory, non quella ufficiale presente in C:\Windows\System32
. La tecnica è nota come DLL hijacking.
La DLL fasulla carica quindi in memoria msoffice32.dll
, ovvero QBot. Il dropper, che viene eseguito in background, può rubare le email e scaricare altri payload, tra cui Brute Ratel or Cobalt Strike, sfruttati per accedere alla rete aziendale, rubare dati sensibili e installare ransomware.