نماد سایت اتاق خبر شبکه گستر

DLL-SideLoading؛ ترفند جدید بدافزار QBot

به تازگی گردانندگان بدافزار QBot از تکنیک DLL-SideLoading جهت بارگذاری کد مخرب بر روی دستگاه‌های با سیستم‌عامل Windows استفاده می‌کنند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، ترفند مذکور مورد بررسی قرار گرفته است.

بیش از یک دهه است که مهاجمان در حال بکارگیری بدافزار QBot که با نام Qakbot نیز شناخته می‌شود، می‌باشند. QBot بدافزاری است که در ابتدا به عنوان یک تروجان بانکی شروع به کار کرد اما در نهایت به یک بدافزار چندکاره تبدیل شد. از جمله برخی گروه‌های باج‌افزاری در مراحل اولیه حمله به منظور دریافت ابزار Cobalt Strike از آن استفاده می‌کنند. این بدافزار برای مدتی نیز توسط شبکه مخرب Emotet برای انتقال کدهای باج‌افزاری نظیر RansomExx ، Maze ،ProLock و Egregor مورد استفاده قرار گرفت. اخیراً نیز بدافزار QBot، باج‌افزار Black Basta را منتشر کرده است.

ایمیل‌های مورد استفاده در کارزارهای اخیر این بدافزار دارای پیوستی از نوع HTML بودند که دارای تصاویر کدگذاری شده base64 و یک فایل ZIP محافظت شده با رمز (Password-protected ZIP archive) می‌باشند. رمزگذاری فایلZIP پیوست جهت دورزدن نرم‌افزارهای ضدویروس، تکنیک بسیار رایجی است که رمز آن در فایل HTML مذکور همانند شکل زیر نشان داده شده است.

 

پس از کلیک بر روی فایل HTML، فایل فشرده ZIP که شامل یک فایل ISO است، دانلود می‌شود. فایل ISO خود نیز شامل یک فایل میانبر با پسوند LNK.، یک نسخه معتبر از calc.exe (ماشین حساب Windows)، فایل DLL جعلی به نام WindowsCodecs.dll و یک کد مخرب (Payload) به نام l7533.dll می‌باشد.

 

 

هنگام باز کردن پوشه مذکور، فقط فایل LNK. نمایش داده می‌شود که به ظاهر یک فایل PDF حاوی اطلاعات مهم یا فایلی که با مرورگر Microsoft Edge باز می‌شود، می‌باشد ولی در واقع فایل میانبر (Shortcut) مذکور به برنامه ماشین حساب در Windows اشاره می‌کند.

 

اجرای فایل Calc.exe، نیازمند بارگذاری و اجرای فایل DLL معتبر به نام WindowsCodecs می‌باشد. با این حال، سیستم DLL را از مسیر اصلی فراخوانی نمی‌کند و در عوض هر DLL همنام را اگر در همان پوشه فایل اجرایی Calc.exe قرار داشته باشد، بارگذاری و اجرا می‌کند.

بدین ترتیب مهاجمان با ایجاد فایل‌های DLL مخرب خود به نام‌های WindowsCodecs.dll و i[numbered].dll، بدافزار QBot را فراخوانی نموده و از این باگ سوءاستفاده می‌کنند. با نصب QBot از طریق برنامه‌ای معتبر همچون Windows Calculator، برخی از نرم‌افزارهای امنیتی ممکن است بدافزار را هنگام بارگذاری شناسایی نکنند و به این ترتیب مهاجم نرم‌افزارهای ضدویروس را دور بزند.

لازم به ذکر است که باگ DLL مربوط به Calc.exe، در Windows 10 و نسخه‌های بالاتر عمل نمی‌کند، به همین دلیل است که مهاجمان اغلب در Windows 7 این ترفند را اجرا می‌کنند.

جزئیات بیشتر درخصوص بدافزار QBot در نشانی زیر قابل مطالعه می‌باشد:

https://blog.cyble.com/2022/07/21/qakbot-resurfaces-with-new-playbook/

 

منبع:

https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/

خروج از نسخه موبایل