Vn-Z.vn Ngày 28 tháng 05 năm 2023, Theo BleepingComputer, các chuyên gia bảo mật và thành viên ProxyLife của Cryptolaemus đã phát hiện ra một chiến dịch lừa đảo trong mạng QBot mới, lợi dụng tệp thực thi write.exe của WordPad trong hệ thống Win10 sau đó phát tán qua Lỗ hổng và chiếm quyền điều khiển tệp thực thi DLL.
QBot, còn được gọi là Qakbot, là một loại phần mềm độc hại tấn công người dùng Windows. Ban đầu, QBot được phát triển như một loại mã độc ngân hàng (banking Trojan), nhưng sau đó đã tiến hóa thành một công cụ phát tán malware , Ransomware
QBot được phát tán thông qua các hoạt động lừa đảo trên mạng, như email lừa đảo hoặc các trang web giả mạo, và sau đó lan truyền vào các máy tính bị nhiễm. Khi đã lây nhiễm vào hệ thống, QBot có thể thực hiện các hoạt động độc hại như đánh cắp thông tin, tạo ra các tài khoản ngân hàng giả mạo, hoặc gây ra các vấn đề bảo mật khác.
Các chuyên gia an ninh xác nhận nhiều nhóm tống tiền bằng phần mềm độc hại như Black Basta, Egregor và Prolock đã sử dụng QBot để tiến hành các cuộc tấn công tống tiền trên mạng nhằm tới nhiều doanh nghiệp. Các cuộc tấn công này có thể gây ra thiệt hại nghiêm trọng cho các doanh nghiệp, bao gồm mất dữ liệu, gián đoạn hoạt động kinh doanh , thiệt hại về kinh tế tiền bạc.
Khi nạn nhân nhấp vào liên kết do hacker gửi, nạn nhân sẽ tải xuống một tệp ZIP có tên ngẫu nhiên được gửi qua máy chủ từ xa. Tệp ZIP này chứa các file gồm document.exe và tệp DLL có tên là edputil.dll (được sử dụng cho DLL hijacking).
Dưới đây là hình ảnh chụp màn hình, khi xem thuộc tính của tệp document.exe, ta có thể thấy đó là phiên bản đổi tên của tệp Write.exe, một tệp hợp lệ của Windows WordPad Write.exe.
Khi tệp document.exe khởi động, nó sẽ tự động tải một tệp DLL hợp lệ có tên là edputil.dll, tệp này thường nằm trong thư mục C:\Windows\System32.
Khi tệp thực thi cố gắng tải tệp edputil.dll, nó sẽ ưu tiên tải tệp edputil.dll trong cùng đường dẫn tệp đó.
Việc cập nhật và bảo mật hệ thống là rất quan trọng để ngăn chặn QBot hoặc các phần mềm độc hại khác xâm nhập vào máy tính. Ngoài ra, người dùng cần cẩn trọng khi mở các email hoặc tải các tệp đính kèm từ nguồn không rõ nguồn gốc, sử dụng các phần mềm bảo mật để giảm thiểu nguy cơ bị tấn công.
QBot, còn được gọi là Qakbot, là một loại phần mềm độc hại tấn công người dùng Windows. Ban đầu, QBot được phát triển như một loại mã độc ngân hàng (banking Trojan), nhưng sau đó đã tiến hóa thành một công cụ phát tán malware , Ransomware
QBot được phát tán thông qua các hoạt động lừa đảo trên mạng, như email lừa đảo hoặc các trang web giả mạo, và sau đó lan truyền vào các máy tính bị nhiễm. Khi đã lây nhiễm vào hệ thống, QBot có thể thực hiện các hoạt động độc hại như đánh cắp thông tin, tạo ra các tài khoản ngân hàng giả mạo, hoặc gây ra các vấn đề bảo mật khác.
Các chuyên gia an ninh xác nhận nhiều nhóm tống tiền bằng phần mềm độc hại như Black Basta, Egregor và Prolock đã sử dụng QBot để tiến hành các cuộc tấn công tống tiền trên mạng nhằm tới nhiều doanh nghiệp. Các cuộc tấn công này có thể gây ra thiệt hại nghiêm trọng cho các doanh nghiệp, bao gồm mất dữ liệu, gián đoạn hoạt động kinh doanh , thiệt hại về kinh tế tiền bạc.
Khi nạn nhân nhấp vào liên kết do hacker gửi, nạn nhân sẽ tải xuống một tệp ZIP có tên ngẫu nhiên được gửi qua máy chủ từ xa. Tệp ZIP này chứa các file gồm document.exe và tệp DLL có tên là edputil.dll (được sử dụng cho DLL hijacking).
Khi tệp document.exe khởi động, nó sẽ tự động tải một tệp DLL hợp lệ có tên là edputil.dll, tệp này thường nằm trong thư mục C:\Windows\System32.
Khi tệp thực thi cố gắng tải tệp edputil.dll, nó sẽ ưu tiên tải tệp edputil.dll trong cùng đường dẫn tệp đó.
Việc cập nhật và bảo mật hệ thống là rất quan trọng để ngăn chặn QBot hoặc các phần mềm độc hại khác xâm nhập vào máy tính. Ngoài ra, người dùng cần cẩn trọng khi mở các email hoặc tải các tệp đính kèm từ nguồn không rõ nguồn gốc, sử dụng các phần mềm bảo mật để giảm thiểu nguy cơ bị tấn công.
