Cyberkriminelle verwenden offenbar die Windows-Systemsteuerung, um Malware auf den Computern ihrer Opfer zu installieren. „Bleepingcomputer.com“ meldet eine Schwachstelle, die Windows-10-Systeme betreffen soll.
Dies wird als „DLL-Hijacking“ bezeichnet. Cyberkriminelle nutzen die Art und Weise aus, wie Dynamic Link Libraries (DLLs) auf Windows-Systemen geladen werden: Wenn eine ausführbare Windows-Datei gestartet wird, durchsucht sie den Windows-Suchpfad nach allen Abhängigkeiten der DLL. Wenn jedoch ein Angreifer eine bösartige DLL mit demselben Namen wie eine der erforderlichen DLLs des Programms erstellt und sie im selben Ordner wie die ausführbare Datei speichert, lädt das Programm diese bösartige DLL und infiziert den Computer.
In dem von Bleepingcomputer beschriebenen Fall installieren Angreifer auf diese Weise die Qbot-Malware, auch bekannt als Qakbot, auf dem Zielgerät. Qbot war als Banking-Trojaner bekannt, wird aber heute für alle Arten von Angriffen verwendet.
Cyberkriminelle senden zunächst Phishing-E-Mails mit einer angehängten HTML-Datei an ihre Opfer. Klickt das Opfer auf die Datei, wird diese in einen vermeintlichen Google-Drive-Ordner umgeleitet. Dort beginnt ein automatischer Download einer ZIP-Datei.
Die ZIP-Datei enthält eine ISO-Disk, die wiederum beim Anklicken einen neuen Ordner öffnet. Darin befinden sich vier Dateien: eine Windows-Verknüpfung (.LNK) und zwei DLL-Dateien. Von letzterem wird einer zum DLL-Hijacking (edputil.dll) verwendet, der andere enthält Qbot-Malware. Eine ausführbare control.exe-Datei wird ebenfalls gefunden. Diese führt auf Windows-Geräten die Windows-Systemsteuerung, auch bekannt als Systemsteuerung, aus, die ein wesentlicher Bestandteil des Betriebssystems ist.
Die Verknüpfungsdatei (.LNK) hat ein Symbol, das wie ein anderer Ordner aussieht, aber sie führt control.exe aus. Nach dem Start versucht control.exe automatisch, die legitime DLL edputil.dll zu laden, die sich im Ordner C:\Windows\System32 befindet. Stattdessen wird eine gleichnamige DLL geladen, wenn sie sich im gleichen Ordner wie die Datei control.exe befindet, in diesem Fall die bösartige.
Da die Windows-Systemsteuerung ein vertrauenswürdiges Programm ist, reagiert Sicherheitssoftware möglicherweise nicht auf die Bedrohung, erklärt die Strategie der „Bleepingcomputer“-Betrüger. Dadurch würde Qbot unbemerkt im Hintergrund laufen und Daten stehlen oder zusätzliche Malware wie Brute Ratel oder Cobalt Strike herunterladen.
Wenn Sie mehr über Cyberkriminalität und Cybersicherheit erfahren möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Das Portal bietet täglich Neuigkeiten zu aktuellen Bedrohungen und neuen Abwehrstrategien.