Ein Sicherheitsforscher beschrieb detailliert eine neue QBot-Kampagne im freien Wildbahn, bei der die legitime Taschenrechner-App von Windows 7 ausgenutzt wird, um die Malware per Side-Load auf den Computer des Ziels zu laden.
Die Kampagne beginnt mit einer Phishing-E-Mail und fordert ahnungslose Personen auf, die HTML-Dateien und die entsprechenden Dateien darin herunterzuladen, wodurch schließlich die QBot-Malware in das System gelangt. Und die Verwendung des Windows-Rechners dient dazu, eine Erkennung durch Antivirensoftware zu vermeiden.
Neue Kampagne für QBot-Malware
Die QBot-Malware (auch bekannt als Qakbot) begann als einfache Backdoor-Malware und hat sich heute nach und nach zu einem hochentwickelten Payload-Dropper entwickelt. [1, 2, 3, 4]die den großen Botnet- und Ransomware-Banden auf der ganzen Welt dient.
Da es sich hierbei um den ersten Angriffspunkt auf den Rechnern der Opfer handelt, haben sich die QBot-Entwickler eine neue Technik ausgedacht, um sie auszunutzen. Und zwar über die Taschenrechner-App von Windows 7, die deren ungeprüfte Side-Loading-Unterstützung ausnutzt.
Wie ausführlich beschrieben von ProxyLifeeinem Sicherheitsforscher, beginnt die Kampagne mit einer Phishing-E-Mail, die eine HTML-Datei enthält – mit der Aufforderung, diese zu öffnen, um auf wichtige Informationen zuzugreifen. Und wenn ein ahnungsloser Benutzer dies tut, lädt der Klick eine kennwortgeschützte Zip-Datei herunter – in der die angeblichen Informationen gespeichert sind.
Qakbot – obama200 – html > .zip > .iso > .lnk > calc.exe > .dll > .dll
T1574 – Entführung der DLL-Suchreihenfolge
cmd.exe /q /c calc.exe
regsvr32 /s C:UsersUserAppDataLocalTempWindowsCodecs.dll
regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh
IOCshttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR
— Proxylife (@pr0xylife) 11. Juli 2022
Die Zip-Datei ist kennwortgeschützt, da Antivirensoftware sie nicht erreichen und scannen kann. Doch sie ist der eigentliche Übeltäter, sagen die Forscher von Cyble, da sie die QBot-Malware und andere bösartige Dateien enthält. Sie enthält eine ISO-Datei – die wiederum eine .LNK-Datei, eine Kopie von „calc.exe“ und zwei DLL-Dateien enthält – WindowsCodecs.dll und eine Payload namens 7533.dll.
Durch Klicken auf die Verknüpfungsdateien wird die Installation von Calc.exe über die Eingabeaufforderung ausgelöst. Dabei soll die Taschenrechner-App eine legitime WindowsCodecs-DLL-Datei aus einem tiefen Systemordner laden, die die QBot-Hacker durch eine bösartige ersetzen.
Da die Taschenrechner-App von Windows 7 die Datei vor dem Laden nicht überprüft, nutzen die Hacker diese Funktion des blinden Sideloadings, um ihre QBot-Malware in das System zu laden. Allerdings ist diese Art der Fälschung von DLL-Dateien in den Taschenrechner-Apps von Windows 10 und 11 nicht möglich, sodass der Hacker nur Windows 7-Benutzer ins Visier nimmt.