Spryt cyberprzestępców potrafi być czasem dość przerażający. Ostatnio zaczęli oni wykorzystywać ciekawą właściwość jednego z popularnych edytorów tekstu preinstalowanych w systemie Windows.
WordPad instaluje trojana
Ekspert ds. bezpieczeństwa posługujący się pseudonimem ProxyLife zwrócił ostatnio uwagę na nową niebezpieczną kampanię hakerów. Wykorzystują oni spamowe maile z załącznikami do rozpowszechniania programu WordPad ze złośliwym oprogramowaniem ukrytym w pliku DLL (Dynamic-link library).
Zmyślny atak korzysta z podatności edytora tekstu preinstalowanego na Windowsie 10. Przy uruchomieniu program szuka i uruchamia parę plików DLL, które są niezbędne do jego działania. Zwykle to niewinne pliki wykonywalne obecne w folderze instalacyjnym programu… chyba że hakerzy je podmienią.
WordPad nie sprawdza bowiem plików DLL pod kątem obecności wirusów i po prostu je uruchamia. To metoda znana jako „DLL hijacking”, do której hakerzy wykorzystywali już nawet aplikację Kalkulatora.
Qbot – wirus może kraść pieniądze
W ten sposób złośliwy DLL uzyskuje dostęp do systemu i rozpoczyna działanie, z automatu instalując inne oprogramowanie hakerskie. Użytkownik jest infekowany trojanem bankowym Qbot. To już dość stary typ wirusa, który nadal może być jednak niebezpieczny.
Zadaniem Qbota jest kradzież maili i innych danych, w tym informacji bankowych. Może on też instalować kolejne wirusy w naszym systemie, m.in. platformę Cobalt Strike.
Jest jednak pewne światełko w tunelu. Ta metoda ataku wykorzystuje plik Curl.exe, obecny w folderze System32 Windowsa 10. Starzejący się już system Microsoftu jako jedyny posiada ten preinstalowany plik. Jeśli korzystamy z nowszego Windowsa 11 – jesteśmy bezpieczni.
Czytaj też:
Ten wirus to plaga Windowsa. EvilExtractor ukradnie i zaszyfruje wasze daneCzytaj też:
Windows 10 vs Windows 11. Czym różnią się systemy operacyjne?