QBot による Windows Calculator 悪用:フィッシングを DLL サイドローディングで仕掛ける

QBot phishing uses Windows Calculator sideloading to infect devices

2022/07/24 BleepingComputer — マルウェア QBot のオペレーターたちは、感染させたコンピュータに悪意のペイロードをサイドロードするために、Windows Calculator を悪用している。DLL サイドローディングとは、Windows における Dynamic Link Libraries (DLL) の処理方法を悪用する一般的な攻撃方法である。偽装した DLL をロード・フォルダに配置することで、オペレーティング・システムに読み込ませるという手順で構成されている。

Qakbot とも呼ばれる QBot は、Windows マルウェアの系統であり、バンキング・トロジャンとして登場したが、Cobalt Strike Beacon などを展開するマルウェア・ドロッパーへと進化し、ランサムウェア攻撃の初期段階で使用されるようになった。

最近のことだが、セキュリティ研究者の ProxyLife は Qakbot について、7月11日頃から Windows 7 Calculator アプリを悪用し、DLL サイド・ローディング攻撃を行っていることを発見した。この方法は、マルスパム・キャンペーンにおいて、継続して使用されているとのことだ。

新しい QBot の感染チェーン

一連の脅威から身を守るために、ProxyLife と Cyble の研究者たちは、最新の QBot 感染チェーンについて文書化した。最新のキャンペーンで使用されている電子メールには、ISO ファイルを含むパスワードで保護された ZIP アーカイブをダウンロードする、HTML ファイルが添付されている。この ZIP ファイルを開くためのパスワードは、HTML ファイル内に表示されているが、このようにアーカイブをロックする理由は、アンチウイルスによる検出を回避するためである。

HTML attachment on QBot spam emails
HTML attachment on QBot spam emails

ISO には、.LNK ファイルである calc.exe のコピー、および、WindowsCodecs.dll と 7533.dll というペイロードである、2つの DLL ファイルが含まれている。

ZIP file contents
ZIP archive contents

ユーザーが ISO ファイルをマウントすると、重要な情報を保持する PDF や、Microsoft Edge ブラウザで開くファイルのように見せかけた、.LNK ファイルだけが表示される。しかし、ファイルのプロパティ・ダイアログで確認すれば分かるように、このショートカットは Windows の Calculator アプリを指している。

Properties of the PDF file that triggers the infection
Properties of the PDF file that triggers the infection

このショートカットをクリックすると、コマンドプ・ロンプトから Calc.exe が実行され、感染が誘発される。

Windows 7 Calculator が読み込まれると、自動的に正規の WindowsCodecs DLL ファイルが検索され、読み込もうとする。しかし、特定のハードコードされたパスにある DLL を確認せず、Calc.exe 実行ファイルと同じフォルダーに置かれた、同名の DLL が読み込まれてしまう。

この欠陥を悪用する脅威アクターは、独自の悪意の WindowsCodecs.dll ファイルを作成し、QBot マルウェアであるもう1 つの [numbered].dll ファイルを起動させる。

Windows Calculator のような、信頼されているプログラムを通じて QBot がインストールされると、一部のセキュリティ・ソフトウェアでは、マルウェアのロードを検出できない可能性が生じてしまう。なお、この DLL サイドロードの欠陥は、Windows 10 の Calc.exe 以降では機能しないため、脅威行為者は Windows 7 バージョンをバンドルしていとのことだ。

QBot は 10年以上前から存在しており、その起源は 2009年までさかのぼる [1234]。QBot を配信するキャンペーンは頻繁には生じないが、過去には Emotet ボットネットにより配布され、ランサムウェア・ペイロードをドロップしていたことが確認されている。

QBot が配信したランサムウェアには、RansomExx/Maze/ProLock/Egregor といったファミリーがある。最近では、QBot による Black Basta ランサムウェアのドロップも確認されている。

最近の QBot は、4月11日の「Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ」にあるように、Microsoft の防衛策に合わせて、その戦略を修正しています。この Windows 7 Calculator アプリの悪用も、QBot の柔軟な攻撃手法の一つなのかもしれません。さらに QBot は、Windows のゼロデイ脆弱性 Follina に対するフィッシング攻撃も開始しているようなので、ご注意ください。QBot の怖いとところは、感染から 30分後にはメールと認証情報が盗み出されるという、素早い攻撃にあります。

%d bloggers like this: