Если вы используете WordPad, прекратите немедленно – его используют для распространения вируса

4 июня 2023, 17:30
Читати новину українською
Автор: Михаил Года

WordPad, широко используемый текстовый редактор, входящий в состав Windows 10, недавно стал мишенью для киберпреступников. Было обнаружено, что уязвимость WordPad используется для распространения печально известного вируса Qbot, о чем сообщили эксперты сообщества Cryptolaemus.

Такое развитие событий вызывает беспокойство по поводу безопасности пользователей Windows 10 и потенциала подобных атак на другое программное обеспечение.

Смотрите также Не спешите обновлять вашу Windows 10 – свежий патч ломает компьютеры

Механика новой атаки

Уязвимость заключается в механизме поиска DLL файлов WordPad, который необходим для нормального функционирования программы. Когда WordPad запускается, он автоматически ищет файлы DLL, начиная с папки, содержащей исполняемый файл. Однако этот процесс не проверяет целостность или легитимность файлов DLL, что позволяет злоумышленникам внедрять вредоносный код.

Этот тип атаки, известный как "загрузка" или "перехват" DLL, уже использовался в прошлом. Ранее подобная уязвимость была обнаружена в Калькуляторе Windows, что позволило киберпреступникам совершить вредоносный код. Теперь хакеры воспользовались возможностью поиска DLL-файлов в WordPad для продолжения своих вредоносных действий.

Как только вредоносный DLL-файл запускается WordPad, он получает доступ к исполняемому файлу Curl.exe в папке System32. Этот исполняемый файл используется для загрузки замаскированного PNG изображения, которое на самом деле является старой версией трояна Qbot.

Справка! Троян Qbot известен своими возможностями, среди которых перехват электронной почты, помощь в фишинговых атаках и содействие загрузке других опасных вирусов, таких как Cobalt Strike.

Тревожным аспектом этой атаки является то, что она использует ресурсы легитимной программы WordPad, что затрудняет обнаружение угрозы антивирусным программам. Это увеличивает вероятность того, что атака останется незамеченной для ничего не подозревающих пользователей. Кроме того, атака опирается на наличие утилиты Curl.exe, не входящей в стандартный пакет Windows до версии 10.

Читайте на сайте Техподдержка Microsoft установила клиенту пиратскую Windows

Как уберечься от атаки

Пользователям настоятельно рекомендуется регулярно обновлять антивирусное программное обеспечение и операционные системы, чтобы защитить себя от подобных уязвимостей. Компания Microsoft была уведомлена об этой проблеме, и ожидается, что она выпустит патч безопасности для устранения уязвимости WordPad в кратчайшие сроки. Тем временем пользователям следует соблюдать осторожность, открывая файлы или документы из ненадежных источников, особенно полученные электронной почтой.