Notizia di questi giorni è quella attinente alla nuova vulnerabilità, riscontrata in Windows 10, rispetto al malware QBot. Si tratta di una vulnerabilità che coinvolge WordPad. È proprio questo programma incorporato in Windows ad essere stato sfruttato dagli hacker per evitare la rilevazione antivirus e infettare l’intero sistema.
A questo punto ci chiediamo in cosa consista il malware in questione. QBot nasce come malware indirizzato ai sistemi bancari, salvo poi attraversare fasi evolutive che lo hanno portato, a sua volta, a divenire distributore di ulteriori malware. In particolare si parla, a tal proposito, di ransomware quali Egregor, Prolock, Black Basta. I gruppi che lanciano i medesimi sono infatti in collaborazione attiva con l’insediamento hacker alla base di QBot per cercare d’infrangere anche diverse reti aziendali.
Ma cosa è accaduto nello specifico? Attualmente QBot conduce un’azione su vasta scala di pishing, in quanto tale volta a carpire dati dell’utenza. Anche e soprattutto dati sensibili. La vulnerabilità, per essere precisi, è attinente alla libreria DDL spoofing, collocata nel file eseguibile “write.exe“. L’utente dovrebbe prestare attenzione proprio perché nel formato della libreria DDL sono comprese funzioni suscettibili di essere sfruttate contemporaneamente da diversi programmi.
Come si manifesta il ransomware attraverso QBot
Vediamo come QBot riesce a diffondere i ransomware. Ogni qualvolta un’applicazione si avvia, punta al caricamento di tutte le DDL necessarie alla propria esecuzione. Quindi effettua dapprima una scansione comprensiva di tutte le directory, compresa chiaramente la directory con il file eseguibile. QBot si introduce nel sistema attraverso e-mail di pishing. Una volta che l’utente faccia clic sul collegamento in essa presente, scarica involontariamente un archivio zippato in cui sono contenuti i file “document.exe” ed “edputill.dll“.
Proprio quest’ultimo è il file libreria che sostituirà quello del programma in esecuzione. Grazie a questa sostituzione, QBot riesce a sfruttare la riga di comando: “C:\Windows\system32\curl.exe” al fine del download di un file PNG da un host remoto. Il file in questione è tutt’altro che innocuo, e altri non è che una DDL mascherata. Nel passaggio successivo, QBot utilizza il file “rundll32.exe”, proprio del sistema operativo, per realizzare i suoi scopi. Il file richiama a sé e carica le librerie DDL a link dinamico, così che possano essere impiegate dai vari programmi.
Trattandosi di un file di Windows è del tutto legittimo, ma l’esecuzione attraverso esso del comando: “rundll32 c:\users\public\default.png,print” fa sì che QBot possa da quel momento in poi agire in background. Il risultato? QBot sottrarrà parte delle e-mail ricevute allo scopo d’utilizzarle per ulteriori operazioni di pishing da propagare in rete. Oltre a ciò, in questo passaggio finale, QBot scarica dei payload, dei runtime in grado di estendere le funzioni del malware stesso.
Perché Windows 10 è coinvolto dall’attacco di QBot
Con l’installazione attraverso WordPad, in definitiva, vi è la tendenza al non riconoscimento del malware da parte del sistema, in particolare del software antivirus impiegato. Resta da chiarire perché la vulnerabilità riguardi solamente Windows 10, tra i sistemi operativi Microsoft.
A partire da giugno 2018, proprio Windows 10 ha accolto nel suo aggiornamento il supporto all’eseguibile “curl.exe. Anche il presente file rientra fra quelli sfruttati da QBot in quanto contenente la libreria per il trasferimento dei dati ad altri pc collegati in rete. Ne consegue che le potenzialità di estensione sono notevoli.
Inutile dire che, essendo gli altri sistemi operativi Microsoft non dotati di tale supporto, e non accogliendo dunque curl.exe come libreria, sono esenti dagli attacchi. Windows 10 è comunque fra i sistemi operativi attualmente più utilizzati, senza contare che curl.exe si trova altresì in altri sistemi operativi di altri marchi. Anche Linux ad esempio, detiene il relativo supporto e può essere che il file sia installato nel sistema.
Quanto riportato in questa guida è la prima forma infettiva adottata da QBot, che è da ultimo passata anche ad altre forme. In ogni caso, si faccia sempre attenzione a quelle che possono rivelarsi e-mail di pishing, diffidando prima di cliccare un link in presenza di un contenuto sospetto.