Хакеры нашли необычный и нетрадиционный способ заражения ПК вредоносными программами: распространение опасного кода с помощью Windows Calculator.
Создателям известного вредоносного ПО QBot удалось найти способ использовать программу для боковой загрузки вредоносного кода в зараженные системы.
В качестве сообщает Bleeping Computerнеопубликованная загрузка библиотек динамической компоновки (DLL) — это подделка фактической библиотеки DLL, после чего она перемещается в папку, чтобы обмануть операционную систему компьютера и загрузить измененную версию, а не настоящие файлы DLL.
QBot, штамм вредоносного ПО для Windows, изначально был известен как банковский троян. Однако банды вымогателей теперь полагаются на него из-за его эволюции в платформу распространения вредоносных программ.
По словам исследователя безопасности ProxyLife, QBot использует программу калькулятора Windows 7, в частности, для выполнения атак с боковой загрузкой DLL. Эти атаки заражают компьютеры как минимум с 11 июля, а также являются эффективным методом проведения вредоносных спам-кампаний.
Электронные письма, содержащие вредоносное ПО в виде вложенного файла HTML, включают ZIP-архив, который поставляется с файлом ISO, который содержит файл .LNK, копию «calc.exe» (калькулятор Windows), а также два файла DLL. : WindowsCodecs.dll, к которому присоединена вредоносная полезная нагрузка (7533.dll).
Открытие файла ISO в конечном итоге запускает ярлык, который после дальнейшего изучения диалогового окна свойств файлов связан с приложением Windows Calculator. После открытия этого ярлыка инфекция проникает в систему с вредоносным ПО QBot через командную строку.
Из-за того, что Windows Calculator, очевидно, является надежной программой, обман системы для распределения полезной нагрузки через приложение означает, что программное обеспечение безопасности может не обнаружить само вредоносное ПО, что делает его чрезвычайно эффективным и творческим способом избежать обнаружения.
Тем не менее, хакеры больше не могут использовать технику боковой загрузки DLL в Windows 10 или Windows 11, поэтому всем, у кого есть Windows 7, следует опасаться любых подозрительных электронных писем и файлов ISO.
Калькулятор Windows не является программой, обычно используемой злоумышленниками для проникновения в цели, но когда дело доходит до текущего состояния взлома и его развития, кажется, что нет ничего за гранью возможного. Первое появление самого QBot произошло более десяти лет назад, и ранее он использовался для программ-вымогателей.
В других местах мы наблюдаем агрессивную активность в области вредоносных программ и хакерских атак в течение 2022 года, например, крупнейшую в истории HTTPS-атаку DDoS. Сами банды вымогателей также развиваются, поэтому неудивительно, что они постоянно находят лазейки, чтобы извлечь выгоду.
В связи с тревожным ростом киберпреступности в целом технологический гигант Microsoft даже запустил инициативу в области кибербезопасности, в которой «ландшафт безопасности [becoming] становится все труднее и сложнее для наших клиентов».
Рекомендации редакции
