Hacker nutzen derzeit eine Schwachstelle im auf Windows 10- vorinstallierten WordPad-Texteditor aus, um die QBot-Malware zu verbreiten. Ein Sicherheitsforscher, Mitglied von Cryptolaemus, der unter dem Pseudonym ProxyLife auftritt, berichtet über eine neue E-Mail-Kampagne, in der Hacker WordPad zusammen mit einer bösartigen DLL verbreiten. Wenn WordPad gestartet wird, sucht es nach bestimmten DLL-Dateien, die es benötigt, um ordnungsgemäß zu funktionieren. Zunächst sucht es nach den Dateien im gleichen Ordner. Wird es dort fündig, führt es sie automatisch aus, selbst wenn diese DLL-Dateien bösartig sind. Dieses Vorgehen nennt man DLL-Hijacking und es ist bereits seit geraumer Zeit im Einsatz. In früheren Kampagnen wurde beispielsweise die Taschenrechner-App auf diese Weise angegriffen.
In diesem besonderen Fall wird, wenn WordPad die DLL ausführt, eine bösartige Datei mit dem Namen Curl.exe aus dem System32 ausgeführt, um eine weitere DLL-Datei herunterzuladen, die sich als PNG-Datei ausgibt. Tatsächlich handelt es sich dabei um QBot, einen seit langem bekannten Banking-Trojaner, der E-Mails für weitere Phishing-Attacken übernehmen und weitere Malware wie etwa Cobalt Strike oder andere Ransomware herunterladen kann.
Indem die Hacker legitime Programme wie den Taschenrechner oder WordPad nutzen, um die bösartigen DLL-Dateien auszuführen und ihre Malware einzuschleusen, hoffen sie darauf, Sicherheitsvorkehrungen wie Antivirenprogramme zu umgehen und unentdeckt zu bleiben. Da diese Methode jedoch die Verwendung von Curl.exe voraussetzt, funktioniert sie nur unter Windows 10 und neueren Versionen, da bei früheren Versionen das Programm nicht vorinstalliert war. Da jedoch ältere Versionen meist ohnehin nicht mehr unterstützt werden und die Nutzer auf Windows 10 und Windows 11 umsteigen, dürfte das Problem noch eine Weile bestehen.
Doch dabei handelt es sich leider nicht um den einzigen Angriffsvektor, den die Hintermänner von QBot einsetzen. Erst Ende April entdeckten Sicherheitsforscher, dass die Malware in einer Phishing-Kampagne auch über PDFs und Windows Script Files (WSF)verbreitet wird. Dabei setzen sie Reply-Chain-Phishing ein, bei dem eine E-Mail-Konversation gekapert wird, um das Opfer in Sicherheit zu wiegen. Die bösartigen Links und Dateianhänge werden dabei einfach als Antwort in eine laufende Unterhaltung eingeschleust. Wie die Sicherheitsforscher feststellten, kommen bei der untersuchten QBot-Kampagne verschiedene Sprachen zum Einsatz, was darauf hindeutet, dass die Angriffe weltweit laufen.
Das Beispiel QBot zeigt, dass auch bereits seit Jahren im Umlauf befindliche Malware weiterhin eine Gefahr darstellt, wenn die Hintermänner sich immer neue Verbreitungswege einfallen lassen. Es ist daher unerlässlich, stets aufmerksam zu bleiben und gegenüber Dateien aus unbekannten Quellen misstrauisch zu sein.
Bild (c) Sabine Kroschel / Pixabay