QBot übernimmt WordPad um sich zu tarnen

Hacker nutzen derzeit eine Schwachstelle im auf Windows 10- vorinstallierten WordPad-Texteditor aus, um die QBot-Malware zu verbreiten. Ein Sicherheitsforscher, Mitglied von Cryptolaemus, der unter dem Pseudonym ProxyLife auftritt, berichtet über eine neue E-Mail-Kampagne, in der Hacker WordPad zusammen mit einer bösartigen DLL verbreiten. Wenn WordPad gestartet wird, sucht es nach bestimmten DLL-Dateien, die es benötigt, um ordnungsgemäß zu funktionieren. Zunächst sucht es nach den Dateien im gleichen Ordner. Wird es dort fündig, führt es sie automatisch aus, selbst wenn diese DLL-Dateien bösartig sind. Dieses Vorgehen nennt man DLL-Hijacking und es ist bereits seit geraumer Zeit im Einsatz. In früheren Kampagnen wurde beispielsweise die Taschenrechner-App auf diese Weise angegriffen.

In diesem besonderen Fall wird, wenn WordPad die DLL ausführt, eine bösartige Datei mit dem Namen Curl.exe aus dem System32 ausgeführt, um eine weitere DLL-Datei herunterzuladen, die sich als PNG-Datei ausgibt. Tatsächlich handelt es sich dabei um QBot, einen seit langem bekannten Banking-Trojaner, der E-Mails für weitere Phishing-Attacken übernehmen und weitere Malware wie etwa Cobalt Strike oder andere Ransomware herunterladen kann.

Indem die Hacker legitime Programme wie den Taschenrechner oder WordPad nutzen, um die bösartigen DLL-Dateien auszuführen und ihre Malware einzuschleusen, hoffen sie darauf, Sicherheitsvorkehrungen wie Antivirenprogramme zu umgehen und unentdeckt zu bleiben. Da diese Methode jedoch die Verwendung von Curl.exe voraussetzt, funktioniert sie nur unter Windows 10 und neueren Versionen, da bei früheren Versionen das Programm nicht vorinstalliert war. Da jedoch ältere Versionen meist ohnehin nicht mehr unterstützt werden und die Nutzer auf Windows 10 und Windows 11 umsteigen, dürfte das Problem noch eine Weile bestehen.

Doch dabei handelt es sich leider nicht um den einzigen Angriffsvektor, den die Hintermänner von QBot einsetzen. Erst Ende April entdeckten Sicherheitsforscher, dass die Malware in einer Phishing-Kampagne auch über PDFs und Windows Script Files (WSF)verbreitet wird. Dabei setzen sie Reply-Chain-Phishing ein, bei dem eine E-Mail-Konversation gekapert wird, um das Opfer in Sicherheit zu wiegen. Die bösartigen Links und Dateianhänge werden dabei einfach als Antwort in eine laufende Unterhaltung eingeschleust. Wie die Sicherheitsforscher feststellten, kommen bei der untersuchten QBot-Kampagne verschiedene Sprachen zum Einsatz, was darauf hindeutet, dass die Angriffe weltweit laufen.

Das Beispiel QBot zeigt, dass auch bereits seit Jahren im Umlauf befindliche Malware weiterhin eine Gefahr darstellt, wenn die Hintermänner sich immer neue Verbreitungswege einfallen lassen. Es ist daher unerlässlich, stets aufmerksam zu bleiben und gegenüber Dateien aus unbekannten Quellen misstrauisch zu sein.

Über die 8com GmbH & Co. KG

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel