Dies wird als “DLL-Hacking” bezeichnet. Cyberkriminelle nutzen die Art und Weise aus, wie Dynamic Link Libraries (DLLs) auf Windows-Systemen geladen werden: Wenn eine ausführbare Windows-Datei gestartet wird, durchsucht sie den Windows-Suchpfad nach allen DLL-Abhängigkeiten. Wenn jedoch ein Angreifer eine bösartige DLL mit demselben Namen wie eine der erforderlichen DLLs des Programms erstellt und sie im selben Ordner wie die ausführbare Datei speichert, lädt das Programm diese bösartige DLL und infiziert den Computer. In dem von Bleepingcomputer beschriebenen Fall installieren Angreifer auf diese Weise die Qbot-Malware, auch bekannt als Qakbot, auf dem Zielgerät. Qbot war als Banking-Trojaner bekannt, wird aber heute für alle Arten von Angriffen verwendet. Cyberkriminelle senden zunächst Phishing-E-Mails mit einer angehängten HTML-Datei an ihre Opfer. Wenn das Opfer auf die Datei klickt und zu einem vermeintlichen Google Drive-Ordner weitergeleitet wird. Dort startet der automatische Download einer ZIP-Datei. Die ZIP-Datei enthält eine ISO-Disk, die wiederum beim Anklicken einen neuen Ordner öffnet. Darin befinden sich vier Dateien: eine Windows-Verknüpfung (.LNK) und zwei DLL-Dateien. Von letzterem wird einer für DLL-Angriffe verwendet (edputil.dll), der andere enthält Qbot-Malware. Eine ausführbare Datei control.exe wurde ebenfalls gefunden. Damit wird auf Windows-Geräten die Windows-Systemsteuerung, auch Systemsteuerung genannt, ausgeführt, die ein wesentlicher Bestandteil des Betriebssystems ist. Die Verknüpfungsdatei (.LNK) hat ein Symbol, das wie ein anderer Ordner aussieht, aber sie führt control.exe aus. Nach dem Start versucht control.exe automatisch, die legitime DLL edputil.dll zu laden, die sich im Ordner C:\Windows\System32 befindet. Stattdessen wird jedoch eine gleichnamige DLL geladen, wenn sie sich im selben Ordner wie die Datei control.exe befindet – in diesem Fall die schädliche. Da es sich bei der Windows-Systemsteuerung um ein vertrauenswürdiges Programm handelt, reagiert Sicherheitssoftware möglicherweise nicht auf die Bedrohung, erklärt die Strategie der Betrüger bei „Bleepingcomputer“. Dadurch läuft Qbot unbemerkt im Hintergrund und stiehlt Daten oder lädt zusätzliche Malware wie Brute Ratel oder Cobalt Strike herunter. Wenn Sie mehr über Cyberkriminalität und Cybersicherheit erfahren möchten, abonnieren Sie hier den Newsletter von Swisscybersecurity.net. Das Portal informiert täglich über aktuelle Bedrohungen und neue Abwehrstrategien.
