Злоумышленники начали использовать текстовый редактор WordPad для заражения устройств программой QBot, которая является распространителем вредоносного ПО. Операторы QBot активно сотрудничают с крупными киберпреступными группировками и помогают доставлять программы-вымогатели на устройства жертв.
Для заражения устройств хакеры используют уязвимость с подменой DLL в исполняемом файле «write.exe», которая обнаружена в редакторе WordPad для Windows 10. Сначала жертве нужно скачать текстовый документ из фишингового письма, а затем открыть его. В этот момент DLL подменяется на вредоносный и на устройство загружается QBot, который продолжает работать в фоновом режиме.
Использование WordPad позволяет злоумышленникам не только заразить устройство вредоносным ПО, но и сделать это незаметно для защитных программ. Таким образом, QBot сможет красть важные данные или загружать другие полезные нагрузки, а обнаружить такую активность будет практически невозможно.
Заразив одно устройство в корпоративной сети, вредоносное ПО может продолжить своё распространение, что приведёт к краже важных данных или атаке программы-вымогателя. Но используется данная схема заражения только на Windows 10 и выше, так как более ранние версии не имеют такой уязвимости.
Эксперты отмечают, что операторы QBot уже изменили метод заражения, но злоумышленники часто возвращаются к старым приёмам, когда обсуждения утихают.