Phishing-Mails, DLL-Hijacking & Qbot

Wie Cyberkriminelle über das Windows Control Panel Malware installieren

Uhr
von Maximilian Schenner und yzu

Cyberkriminelle nutzen eine Schwachstelle in Windows 10 aus. Per Mail senden sie Ordner mit der Qbot-Malware an ihre Opfer. Über die Windows-Systemsteuerung wird die Malware am Gerät installiert. Sicherheitssoftware schlägt darauf nicht an.

(Source: ©fizkes - stock.adobe.com)
(Source: ©fizkes - stock.adobe.com)

Cyberkriminelle nutzen anscheinend die Windows-Systemsteuerung, um Malware auf den Computern ihrer Opfer zu installieren. "Bleepingcomputer.com" berichtet von einer Schwachstelle, die Windows-10-Systeme betreffen soll.

Es handle sich dabei um sogenanntes "DLL Hijacking". Dabei nutzen Cyberkriminelle aus, wie Dynamic Link Libraries (DLL) auf Windows-Systemen geladen werden: Wenn eine ausführbare Windows-Datei gestartet wird, sucht sie im Windows-Suchpfad nach allen DLL-Abhängigkeiten. Wenn jedoch ein Bedrohungsakteur eine bösartige DLL mit demselben Namen wie eine der erforderlichen DLLs des Programms erstellt und sie im selben Ordner wie die ausführbare Datei speichert, lädt das Programm stattdessen diese bösartige DLL und infiziert den Computer.

Im von "Bleepingcomputer" beschriebenen Fall installieren die Angreifer auf diese Weise die Malware Qbot, auch bekannt als Qakbot, auf dem Zielgerät. Qbot wurde als Banking-Trojaner bekannt, wird mittlerweile aber für verschgiedenste Arten von Angriffen eingesetzt.

Die Cyberkriminellen senden zunächst Phishing-Mails mit einer angehängten HTML-Datei an ihre Opfer. Klickt das Opfer die Datei an und wird zu einem vermeintlichen Google-Drive-Ordner weitergeleitet. Dort startet ein automatischer Download einer ZIP-Datei.

Die ZIP-Datei enthält einen ISO-Datenträger, der wiederum einen neuen Ordner öffnet, so er angeklickt wird. Darin befinden sich vier Dateien: eine Windows-Verknüpfung (.LNK) sowie zwei DLL-Datein. Von den letzteren wird eine für den DLL-Hijack verwendet (edputil.dll), die andere enthält die Malware Qbot. Ebenfalls zu finden ist eine ausführbare control.exe-Datei. Diese führt auf Windows-Geräten das Windows Control Panel aus, auch bekannt als Systemsteuerung, was ein essenzieller Bestandteil des Betriebssystems ist.

Die Verknüpfungsdatei (.LNK) hat ein Icon, das wie ein weiterer Ordner aussieht, führt jedoch die control.exe aus. Nach dem Start versucht die control.exe automatisch, die legitime DLL edputil.dll zu laden, die sich im Ordner C:\Windows\System32 befindet. Stattdessen wird jedoch eine DLL mit demselben Namen geladen, sofern sie sich im selben Ordner wie die control.exe-Datei befindet - in diesem Falle eben die ybösartige.

Da das Windows Control Panel ein vertrauenswürdiges Programm ist, würde Sicherheitssoftware womöglich nicht auf die Bedrohung anspringen, erklärt “Bleepingcomputer” die Strategie der Betrüger. Qbot würde in Folge unbemerkt im Hintergrund laufen und Daten stehlen oder weitere Malware, etwa Brute Ratel oder Cobalt Strike herunterladen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_275144

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter