Le malware Qbot s’appuie sur l’exécutable de WordPad pour infecter les machines Windows

Dans le cadre d'une campagne malveillante, le célèbre malware Qbot s'appuie sur le programme Wordpad, nativement intégré à Windows, pour infecter les machines à l'aide d'une DLL malveillante ! Faisons le point sur cette campagne.

Le logiciel malveillant Qbot, appelé aussi Qakbot, utilise la technique de DLL hijacking avec WordPad pour infecter les machines Windows avec une DLL malveillante. Sous Windows, lorsqu'un programme recherche une DLL, il va prioriser la version de la DLL située dans le même répertoire que l'exécutable, plutôt que la DLL stockée dans les répertoires de Windows.

Dans le cas présent, les pirates utilisent une copie de l'exécutable de WordPad, et dans le même répertoire, ils ont mis une copie malveillante d'une DLL utilisée par ce programme. Le tout est mis dans une archive ZIP qui est distribuée dans le cadre d'une campagne malveillante.

Ce fichier ZIP contient un fichier nommé "document.exe" qui est une copie de l'exécutable WordPad de Windows 10, ainsi qu'un fichier DLL nommé "edputil.dll" qui est utilisé pour infecter la machine (c'est une copie malveillante d'une DLL légitime). La DLL contenue dans le ZIP sera chargée à la place de la version légitime située dans "C:\Windows\System32". D'après le site BleepingComputer, cette archive ZIP est distribuée via une campagne de phishing et les e-mails invitent l'utilisateur à télécharger un fichier hébergé sur un serveur.

Lorsque la DLL malveillante est chargée, le logiciel malveillant utilise "curl.exe" (intégré à Windows depuis Windows 10) pour télécharger une autre DLL malveillante camouflée dans un fichier image au format PNG. C'est à partir de ce moment-là que Qbot est exécuté en arrière-plan sur la machine locale.

Qbot est un malware capable de télécharger d'autres souches malveillantes par la suite, et il peut aussi voler des e-mails qui seront utilisés pour du phishing ! D'ailleurs, plusieurs gangs de ransomwares l'ont déjà utilisé en ce sens. Les cybercriminels derrière Qbot utilisent diverses méthodes pour infecter les machines, et celle-ci basée sur WordPad en fait partie ! Il y a une autre méthode un peu dans le même genre où le malware Qbot s'appuie sur la calculatrice de Windows.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5503.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.