マルウェアQBot、ワードパッドの実行ファイル悪用したフィッシングキャンペーン

headless 曰く、　マルウェア QBot (QakBot、QuackBot などとも) が Windows 10 の「write.exe」を悪用したフィッシングキャンペーンを実行していたそうだ(BleepingComputer の記事、Ghacks の記事)。

write.exe はワードパッドに置き換えられた Microsoft Write との互換性を維持するために用意されている実行ファイルで、実行時に読み込まれる edputil.dll を DLL ハイジャックにより置き換えることが可能だという。ただし、write.exe は Windows ディレクトリおよび System32 ディレクトリに格納されており、edputil.dll は System32 ディレクトリに格納されているため通常は置き換え不可能だ。

そのため、QBot ではダウンロードさせる ZIP ファイルに「document.exe」とリネームした Windows 10 の write.exe と偽の edputil.dll を格納することで、DLL ハイジャックを実現している。document.exe を実行すると偽の DLL が読み込まれ、curl.exe を使用してリモートホストから PNG ファイルをダウンロードする。このファイルは PNG に偽装したDLLであり、rundll32.exe を使用して実行することで QBot が常駐するという仕組みだ。

実際に効果があるかどうかは不明だが、QBot 運用者は write.exe のような信頼された実行ファイルを通じてマルウェアを起動することで、セキュリティソフトウェアに検知されにくくなることを期待しているとみられる。なお、Windows 11 の write.exe でも同様の動作になる可能性はあるが、Windows 11 版の write.exe は Windows 10 上で実行できない。また、curl.exe は Windows 10 以降にしか搭載されていないため、ターゲットは Windows 10 以降となる。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | Windows

　関連ストーリー：
ChatGPTでランサムウエアを作成できる方法が存在する 2023年04月25日
Googleドライブで不適切ファイルの取締が開始。不適切ファイルの具体像は不明 2021年12月27日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日