Odkryto kolejne złośliwe oprogramowanie. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że do infekowania urządzeń z Windowsem wykorzystuje ono... kalkulator.
Działania hakerów są niebezpieczne i szkodliwe, lecz nie można im odmówić kreatywności. Tym razem odkryto wirusa, który do infekowania urządzeń i wprowadzania zmian wykorzystuje kalkulator Windowsa. Cały proces przebiega w tle, a użytkownik może nawet nie być świadomy, że dzieje się coś niezwykłego.
I nic dziwnego, złośliwe oprogramowanie QBot jest dość podstępne, lecz wymaga konkretnych działań ze strony użytkownika. Jak w przypadku wielu ataków malware, QBot w swoich działaniach wykorzystuje DLL, bibliotekę Windows, w której przechowywane są dane wielu programów ekosystemu Microsoftu. QBot wykorzystuje DLL do spoofingu, czyli zastępuje i podszywa się pod oryginalny program. W tym przypadku chodzi o kalkulator.
#Qakbot - obama200 - html > .zip > .iso > .lnk > calc.exe > .dll > .dll
— proxylife (@pr0xylife) July 11, 2022
T1574 - DLL Search Order Hijacking
cmd.exe /q /c calc.exe
regsvr32 /s C:\Users\User\AppData\Local\Temp\WindowsCodecs.dll
regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh
IOC'shttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR
Początkowo QBot (lub QakBot) był wykorzystywany jako trojan bankowy, lecz teraz jest częstym wyborem cyberprzestępców. QBot pozwala im zinfiltrować bibliotekę celu i wypakować tam narzędzie typu Cobalt Strike. Na ostatnią wzmożoną aktywność QBotów zwrócił uwagę ProxyLife, specjalista od cyberbezpieczeństwa. Zauważył on, że złośliwe oprogramowanie wykorzystuje aplikację kalkulatora w systemie Windows 7, by dostać się do DLL.
No dobra, ale jak malware dostaje się na urządzenie? Wszystko wskazuje na to, że ataki poprzedza wzmożona kampania emailowego spamu. Wiadomości stosują różne techniki, by nakłonić ofiarę do pobrania i otworzenia zawartości. W wiadomości pojawiają się załączniki w formie pliku HTML który pobiera chronione hasłem archiwum ZIP z plikiem ISO w środku.
Hasło do rozpakowania ZIP znajduje się w pliku HTML. Dzięki temu, program może dostać się na nasze urządzenie bez ryzyka wykrycia przez antywirusa. ISO zawiera plik .LNK, kopię calc.exe (kalkulatora Windows) oraz dwa pliki .dll. Po załadowaniu ISO, .LNK jest maskowany w taki sposób, że wygląda jak plik pdf otwierany w Microsoft Edge.
Skrót wskazuje jednak na aplikację Kalkulator w systemie Windows 7, co można zobaczyć w oknie dialogowym właściwości plików. W ten sposób, po jego otwarciu następuje zastąpienie oryginalnego kalkulatora na ten przygotowany przez cyberprzestępców, dzięki czemu mogą wprowadzić zmiany i wyładować inne pliki na urządzeniu.
Zobacz: Masz Wi-Fi? To patrz, jak mogą cię okraść
Zobacz: Ekspansja Surfshark. Specjaliści cyberbezpieczeństwa w Warszawie
Źródło zdjęć: Shutterstock
Źródło tekstu: ProxyLife/Cyble blog
