Malware QBot abusa de uma falha de DLL no Windows para infectar dispositivos
A operação de malware QBot começou a abusar de uma falha de sequestro de DLL no programa WordPad do Windows 10 para infectar computadores, usando o programa legítimo para evitar a detecção por software de segurança. Uma DLL é um arquivo de biblioteca contendo funções que podem ser usadas por mais de um programa ao mesmo tempo.
O sequestro de DLL ocorre quando um agente de ameaça cria uma DLL maliciosa com o mesmo nome de uma legítima e a coloca no caminho de pesquisa inicial do Windows, geralmente na mesma pasta do executável. Quando esse executável for iniciado, ele carregará a DLL do malware em vez da legítima e executará qualquer comando malicioso dentro dela. Gangues de ransomware, incluindo Black Basta, Egregor e Prolock, fizeram parceria com a operação para obter acesso inicial a redes corporativas para realizar ataques de extorsão.
Fonte: BoletimSec
Publicado em: Cybersegurança