Die Malware QBot nutzt eine Sicherheitslücke in Zusammenhang mit WordPad, um Windows-Rechner zu infizieren. Der Schadcode wird installiert, nachdem eine manipulierte DLL-Datei geladen wurde. Wie üblich wird die Software über die Anhänge von Spam-Mails verbreitet.

QBot greift Mail-Adressen und Daten ab

Zusammenfassung QBot nutzt Sicherheitslücke in WordPad, um Windows-Rechner zu infizieren.

Phishing-/Spam-Mails mit manipulierter DLL-Datei, die beim Start geladen wird.

Tool "curl.exe" lädt PNG-Bild herunter, das eigentliche QBot-Programm.

QBot greift Mail-Adressen ab und kann weitere Toolkits installieren.

Nur Windows 10/11 betroffen, da "curl.exe" nur dort vorhanden.

Angreifer hoffen darauf, dass Antiviren-Apps den Trick nicht erkennen.

Viele Windows-Apps nutzen DLL-Bibliotheken, die Funktionen programmübergreifend zur Verfügung stellen. Die Dateien werden beim Start der Anwendung geladen. Dabei werden allerdings DLLs im gleichen Ordner bevorzugt, bevor in Systemordnern gesucht wird. WordPad benötigt die "edputil.dll", die im System32-Verzeichnis gespeichert wird.Laut Bleeping Computer versenden QBot-Operatoren aktuell ZIP-Dateien, in denen eine "document.exe" sowie eine "edputil.dll" zu finden sind. Bei dem ausführbaren Programm handelt es sich um eine Kopie der legitimen WordPad-Anwendung "write.exe". Die DLL ist jedoch manipuliert und wird beim Start des Tools anstelle der legitimen, im Systemverzeichnis abgelegten Bibliothek geladen, da sie sich im gleichen Ordner befindet.Sobald die Bibliothek geladen wurde, wird die Systemanwendung "curl.exe" aufgerufen, um eine weitere, als PNG-Bild getarnte DLL-Datei herunterzuladen. Das Programm wird dann ausgeführt, sodass QBot im Hintergrund läuft. Die Malware greift Mail-Adressen für weitere Phishing-Angriffe ab und kann weitere Toolkits auf dem PC installieren. Hacker können den infizierten PC verwenden, um weitere Geräte im Netzwerk zu übernehmen, Daten abzufangen oder eine Ransomware-Attacke zu starten.Mit der Installation über WordPad hoffen die Angreifer darauf, dass Antiviren-Apps den Schadcode nicht erkennen und den Nutzer warnen können. Da der Download der eigentlichen Malware die "curl.exe" voraussetzt, sind alte Rechner nicht betroffen. Das Tool lässt sich lediglich in Windows 10 und 11 finden.