Cyberthreat.id - Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

“DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan,” demikian laporan BleepingComputer.

Ini dilakukan dengan mencari melalui folder Windows tertentu untuk DLL dan, ketika ditemukan, memuatnya. Namun, aplikasi Windows akan memprioritaskan DLL di folder yang sama dengan yang dapat dieksekusi, memuatnya sebelum yang lainnya.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah jahat apa pun di dalamnya.

QBot, menurut BleepingComputer, juga dikenal sebagai Qakbot, adalah malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Peneliti keamanan dan anggota Cryptolaemus ProxyLife memberi tahu BleepingComputer bahwa kampanye phishing QBot baru mulai menyalahgunakan kerentanan pembajakan DLL di WordPad Windows 10 yang dapat dieksekusi, write.exe.

Meskipun BleepingComputer belum melihat email phishing asli, ProxyLife memberi tahu kami bahwa email tersebut berisi tautan untuk mengunduh file.

Ketika seseorang mengklik tautan itu akan mengunduh arsip ZIP bernama acak dari host jarak jauh akan diunduh.

File ZIP ini berisi dua file: document.exe (Windows 10 WordPad dapat dieksekusi) dan file DLL bernama edputil.dll (digunakan untuk membajak DLL).

Seperti yang dapat Anda lihat dari properti file document.exe, itu hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Saat document.exe diluncurkan, secara otomatis mencoba memuat file DLL resmi bernama edputil.dll, yang biasanya terletak di folder C:\Windows\System32.

Namun, ketika executable mencoba memuat edputil.dll, itu tidak memeriksanya di folder tertentu dan akan memuat DLL apa pun dengan nama yang sama yang ditemukan di folder yang sama dengan executable document.exe.

Hal ini memungkinkan pelaku ancaman untuk melakukan pembajakan DLL dengan membuat versi berbahaya dari DLL edputil.dll dan menyimpannya di folder yang sama dengan document.exe sehingga dimuat sebagai gantinya.

Setelah DLL dimuat, ProxyLife memberi tahu BleepingComputer bahwa malware menggunakan C:\Windows\system32\curl.exe untuk mengunduh DLL yang disamarkan sebagai file PNG dari host jarak jauh.

File PNG ini (sebenarnya DLL) kemudian dieksekusi menggunakan rundll32.exe dengan perintah berikut: rundll32 c:\users\public\default.png,print

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike (alat pasca-eksploitasi yang digunakan aktor ancaman untuk mendapatkan akses awal ke perangkat yang terinfeksi).

Perangkat ini kemudian akan digunakan sebagai pijakan untuk menyebar secara lateral ke seluruh jaringan, yang biasanya berujung pada pencurian data perusahaan dan serangan ransomware.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Namun, menggunakan curl.exe berarti metode infeksi ini hanya akan berfungsi di Windows 10 dan yang lebih baru, karena versi sistem operasi sebelumnya tidak menyertakan program Curl.

Untuk sebagian besar, ini seharusnya tidak menjadi masalah, karena versi Windows yang lebih lama telah dihapus setelah mencapai akhir dukungan.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.[]