A quanto pare, i criminali informatici dietro al famoso malware Qbot hanno trovato una nuova tecnica per diffondere il loro agente malevolo.
Secondo quanto affermato da un ricercatore di sicurezza informatica di Cryptolaemus, noto con lo pseudonimo di ProxyLife, i cybercriminali stanno utilizzando una falla nel WordPad di Windows per favorire la diffusione di Qbot.
Il tutto parte da un messaggio di posta elettronica, con cui viene proposto l’eseguibile di WordPad e un file con estensione .DLL dannoso. Sebbene WordPad sia legittimo, in fase di avvio andrà ad attivare ciecamente tutti i DLL presenti, attivando anche quello malevolo.
Questo tipo di pratica, già nota agli esperti di sicurezza informatica, è nota come DLL sideloading o DLL hijacking, utilizzata in passato anche con l’app Calcolatrice.
Qbot, WordPad e DLL dannosi: un mix molto pericoloso
Una volta attivato il malware, questo utilizzerà l’eseguibile Curl.exe (situato nella cartella System32) per effettuare il download di un ulteriore DLL che si “finge” un PNG. Quest’ultimo, in realtà, si rivela proprio Qbot, il già ben noto trojan bancario utilizzato per attacchi phishing e attivare l’ulteriore download i altri malware (come Cobalt Strike).
Proprio l’utilizzo di programmi come WordPad, l’esecuzione dei file DLL dannosi non viene individuata da molti antivirus e simili. Ciò permette ai cybercriminali di favorire, e non poco, la diffusione di Qbot.
Questa nuova strategia ha però un grosso limite, richiedendo la presenza del file Curl.exe nella cartella System32, è efficace solo con Windows 10 e versioni più recenti del sistema operativo Microsoft.
Così come per altre minacce simili, per evitare eventuali infezioni è bene seguire alcune precauzioni standard. Fare grande attenzione ad e-mail sospette e allegati annessi, per esempio, risulta il primo passo verso la sicurezza.
L’adozione di un antivirus di alto livello, aggiornato e con protezione in tempo reale, offre ulteriori certezze in questo senso.