Foi descoberta uma vulnerabilidade no editor de texto do WordPad junto com o Windows 10 que está sendo explorada por cibercriminosos para espalhar o vírus Qbot. Isso foi relatado por um dos especialistas da comunidade Cryptolaemus.
Fonte da imagem: Gerd Altmann / pixabay.com
O WordPad na inicialização procura os arquivos DLL necessários para funcionar corretamente. Ele começa a procurá-los na pasta onde está o arquivo executável do programa e, se for encontrado, eles são iniciados automaticamente, mesmo que sejam maliciosos. Esse método de ataque é chamado de “carregamento” ou “interceptação” de uma DLL – uma prática bastante conhecida e difundida: invasores anteriores exploraram de maneira semelhante a vulnerabilidade “Calculadora” no Windows.
“Quando o WordPad inicia uma DLL maliciosa, ele por sua vez acessa o executável Curl.exe da pasta System32 – o último é usado para baixar o arquivo DLL malicioso que se apresenta como uma imagem PNG. Essa DLL na verdade é o antigo trojan Qbot, que intercepta e-mails, auxilia os invasores na organização de ataques de phishing e inicia o download de outros vírus, como o Cobalt Strike.”
O perigo desse método para os usuários é que ele usa os recursos do programa WordPad legítimo – existe o risco de o antivírus não responder a ele e o ataque passar despercebido. Outro link no ataque é o utilitário Curl.exe, que não é padrão no Windows até a décima versão.