headless 曰く、

マルウェア QBot (QakBot、QuackBot などとも) が Windows 10 の「write.exe」を悪用したフィッシングキャンペーンを実行していたそうだ (BleepingComputer の記事、 Ghacks の記事)。

write.exe はワードパッドに置き換えられた Microsoft Write との互換性を維持するために用意されている実行ファイルで、実行時に読み込まれる edputil.dll を DLL ハイジャックにより置き換えることが可能だという。ただし、write.exe は Windows ディレクトリおよび System32 ディレクトリに格納されており、edputil.dll は System32 ディレクトリに格納されているため通常は置き換え不可能だ。

そのため、QBot ではダウンロードさせる ZIP ファイルに「document.exe」とリネームした Windows 10 の write.exe と偽の edputil.dll を格納することで、DLL ハイジャックを実現している。document.exe を実行すると偽の DLL が読み込まれ、curl.exe を使用してリモートホストから PNG ファイルをダウンロードする。このファイルは PNG に偽装したDLLであり、rundll32.exe を使用して実行することで QBot が常駐するという仕組みだ。

実際に効果があるかどうかは不明だが、QBot 運用者は write.exe のような信頼された実行ファイルを通じてマルウェアを起動することで、セキュリティソフトウェアに検知されにくくなることを期待しているとみられる。なお、Windows 11 の write.exe でも同様の動作になる可能性はあるが、Windows 11 版の write.exe は Windows 10 上で実行できない。また、curl.exe は Windows 10 以降にしか搭載されていないため、ターゲットは Windows 10 以降となる。