Η εταιρεία ασφαλείας BitDefender δημοσίευσε πληροφορίες για μια sideloading ευπάθεια σε ένα DLL του OneDrive που εκμεταλλεύεται αυτή την στιγμή, επιτρέποντας εξόρυξη κρυπτονομισμάτων σε ευάλωτα μηχανήματα.
Το DLL hijacking είναι ένα συνηθισμένο φαινόμενο στα Windows. Τα Windows χρησιμοποιούν ένα σύστημα προτεραιότητας για να προσδιορίσουν από ποια θέση φορτώνεται ένα αρχείο DLL, αν μια πλήρης διαδρομή δεν καθορίζεται από κάποια εφαρμογή. Οι επιθέσεις DLL hijacking κάνουν κατάχρηση αυτού του συστήματος για την εγκατάσταση κακόβουλων αρχείων σε κάποια τοποθεσία με υψηλότερη προτεραιότητα. Έτσι το πρόγραμμα θα φορτώσει το κακόβουλο DLL αντί για το κανονικό αρχείο DLL.
Στην περίπτωση του OneDrive, οι εισβολείς χρησιμοποιούν αυτή την ιδέα τοποθετώντας ένα κακόβουλο αρχείο DLL στο φάκελο του χρήστη στο σύστημα. Συγκεκριμένα, ένα ψεύτικο αρχείο secure32.dll εγγράφεται στο %LocalAppData%\Microsoft\OneDrive. Αυτό το κακόβουλο dynamic link library φορτώνεται στη συνέχεια από δύο διεργασίες του OneDrive: τις OneDrive.exe και OneDriveStandaloneUpdater.exe.
Όταν το φορτωθεί το κακόβουλο DLL για πρώτη φορά, αρχίζει να κατεβάζει λογισμικό εξόρυξης κρυπτονομισμάτων στο μολυσμένο σύστημα.
“Μόλις φορτωθεί σε μία από τις διεργασίες του OneDrive, το ψεύτικο secure32.dll κατεβάζει λογισμικό εξόρυξης κρυπτονομισμάτων ανοιχτού κώδικα και το τρέχει σε νόμιμες διεργασίες των Windows.”
Το BitDefender αναφέρει ότι ενώ η επίθεση περιορίζεται επί του παρόντος στην εξόρυξη κρυπτονομισμάτων, αν και οι εισβολείς έχουν επιλογές να πραγματοποιήσουν κι άλλες κακόβουλες επιθέσεις, με ransomware ή spyware.
Η εταιρεία ασφαλείας συνιστά να εγκατασταθεί το OneDrive “ανά μηχάνημα” και όχι “ανά χρήστη” σε υπολογιστές με Windows για να αποφευχθεί η ευπάθεια.
Όσοι θέλετε να δείτε αν έχετε μολυνθεί ανοίξτε την διαδρομή %LocalAppData%\Microsoft\OneDrive\ στην Εξερεύνηση αρχείων και αναζητήστε το αρχείο στον κατάλογο του OneDrive.
