29 мая 2023
Роман Литвинов
347

Хакеры используют WordPad для распространения вредоносного ПО

Атаки с подменой DLL помогают заражать устройства и обходить защиту системы.

Злоумышленники начали использовать текстовый редактор WordPad для заражения устройств программой QBot, которая является распространителем вредоносного ПО. Операторы QBot активно сотрудничают с крупными киберпреступными группировками и помогают доставлять программы-вымогатели на устройства жертв.

Для заражения устройств хакеры используют уязвимость с подменой DLL в исполняемом файле «write.exe», которая обнаружена в редакторе WordPad для Windows 10. Сначала жертве нужно скачать текстовый документ из фишингового письма, а затем открыть его. В этот момент DLL подменяется на вредоносный и на устройство загружается QBot, который продолжает работать в фоновом режиме.

Использование WordPad позволяет злоумышленникам не только заразить устройство вредоносным ПО, но и сделать это незаметно для защитных программ. Таким образом, QBot сможет красть важные данные или загружать другие полезные нагрузки, а обнаружить такую активность будет практически невозможно.

Заразив одно устройство в корпоративной сети, вредоносное ПО может продолжить своё распространение, что приведёт к краже важных данных или атаке программы-вымогателя. Но используется данная схема заражения только на Windows 10 и выше, так как более ранние версии не имеют такой уязвимости.

Эксперты отмечают, что операторы QBot уже изменили метод заражения, но злоумышленники часто возвращаются к старым приёмам, когда обсуждения утихают.

Читайте также
Российский сельскохозяйственный гигант стал жертвой хакеров-вымогателей
10 апреля 2024
Телефонные мошенники начали раскаиваться в обмане
4 апреля 2024
Новые вектора кибератак 2024 по версии «Mirey Robotics»
12 апреля 2024