В поставляемом в комплекте с Windows 10 текстовом редакторе WordPad обнаружена уязвимость, которая эксплуатируется киберпреступниками для распространения вируса Qbot. Об этом сообщил один из экспертов сообщества Cryptolaemus.
WordPad при запуске производит поиск файлов DLL, необходимых ему для корректной работы. Их поиск он начинает с папки, в которой расположен исполняемый файл программы, и при обнаружении они автоматически запускаются, даже если являются вредоносными. Такой способ атаки называется «подгрузкой» или «перехватом» DLL — практика достаточно известная и распространённая: ранее злоумышленники аналогичным образом эксплуатировали уязвимость «Калькулятора» в Windows.
Когда WordPad запускает вредоносный DLL-файл, тот, в свою очередь, обращается к исполняемому Curl.exe из папки System32 — последний же используется для загрузки выдающего себя за изображение формата PNG вредоносного файла DLL. Этот DLL на самом деле оказывается старым трояном Qbot, который производит перехват электронных писем, помогает злоумышленникам в организации фишинговых атак и инициирует загрузку других вирусов, например, Cobalt Strike.
Опасность этого метода для пользователей состоит в том, что он использует ресурсы легитимной программы WordPad — есть риск, что антивирус на неё не отреагирует, и атака пройдёт незамеченной. Ещё одним звеном атаки является утилита Curl.exe, которая отсутствует в стандартной комплектации Windows до десятой версии.