Os hackers optam pelo sequestro de DLL como uma técnica para explorar aplicativos vulneráveis, pois permite que carreguem código malicioso, enganando um aplicativo legítimo para que carregue uma DLL maliciosa.
Isso pode dar-lhes acesso e controle não autorizados sobre um sistema ou aplicativo, permitindo vários tipos de ataques como:-
- Escalação de privilégios
- Roubo de dados
- Comprometimento do sistema
Uma ameaça ativa envolve um Infostealer distribuindo um arquivo EXE legítimo junto com uma DLL maliciosa oculta no mesmo diretório.
O EXE legítimo executa a DLL maliciosa, uma técnica conhecida como sequestro de DLL, comumente usada para distribuição de malware.
DLL malicioso com arquivos EXE legítimos
O malware que se apresenta como cracking de software está crescendo em um ritmo rápido e sendo distribuído pelos atores da ameaça usando o sequestro de DLL.
Os usuários que procuram software crackeado levam a sites maliciosos, e os downloads são arquivos RAR criptografados com senhas.
A execução de EXE infecta o sistema e geralmente possui assinaturas válidas, portanto, sempre tenha cuidado com software crackeado, diz o artigo. Relatório ASEC.
DLLs maliciosas ajustam parte de DLLs legítimas à medida que descriptografam e executam dados de um arquivo próximo. Ocultar dados dessa forma evita alterar a aparência da DLL, reduzindo o risco de detecção.
Para que o malware funcione, os seguintes elementos devem ser colocados na mesma pasta:-
Descompactar o arquivo protegido por senha com o código “2023” fornece os seguintes arquivos: –
Os dois arquivos a seguir são arquivos VLC genuínos com assinaturas válidas: –
O “libvlccore.dll” está alterado e não possui uma assinatura correspondente, devido à qual diretórios extras como demux e lua servem para mascarar sua natureza maliciosa.
A execução de ‘Setup.exe’ ativa ‘libvlccore.dll’, acionando uma função modificada que lê e descriptografa ‘ironwork.tiff’ na mesma pasta. Este arquivo contém informações de código. disfarçado de PNG.
Ele carrega “pla.dll” do SysWow64 e injeta código em sua memória de maneira diferente do malware típico. Este método usa a realocação de NTDLL e, para “cmd.exe”, carrega “pla.dll” e injeta o malware nele.
Um arquivo de dados é gravado em %TEMP%. cmd.exe o herda e tem seu EntryPoint alterado para o código “pla.dll”. Este código descriptografa um arquivo, gera o malware LummaC2 e executa “explorer.exe”, injetando e executando o binário.
LummaC2 tem como alvo as vítimas e instala malware de seu servidor C2, e rouba vários dados confidenciais usando respostas formatadas em JSON de C2.
O malware infecta por meio de arquivos EXE legítimos, parecendo DLLs originais, apresentando baixo risco de detecção.
