В текстовом редакторе WordPad для платформы Windows 10 обнаружена опасная уязвимость, которая активно используется злоумышленниками. В частности, баг используется в рамках схемы для распространения вируса Qbot.
В процессе запуска WordPad автоматически ищет файлы DLL, необходимые для корректной работы. Причем поиск начинается с каталога, откуда запускается основной файл приложения, а при нахождении нужной библиотеки она запускается без проверки на безопасность. Данная схема, получившая название «перехват» DLL, известна специалистам давно.
Злоумышленники, используя данную особенность, заставляют WordPad запустить вредоносную библиотеку, которая обращается к системному файлу Curl.exe (каталог System32). Данный файл используется для загрузки основного вредоносного модуля, который имитирует обычное изображение в формате PNG. Данный модуль – относительно старое троянское приложение Qbot, способное перехватывать электронные письма, загружать другие вирусы, а также используется для организации фишинговых атак.
Основная опасность данной атаки – использование на начальном этапе штатной утилиты Windows. Есть вероятность, что антивирусное ПО не отреагирует на данную активность и атака не будет заблокирована.
