Калькулятор, один из самых простых (и самых полезных) инструментов Windows, используется для загрузки вредоносных программ на целевые конечные точки. (откроется в новой вкладке)обнаружили исследователи.
Эксперты ProxyLife обнаружили, что инструмент-калькулятор Windows можно использовать для заражения устройства с помощью Qbot, известного вредоносного дроппера, используемого для доставки маяков Cobalt Strike на целевые устройства, что часто является первым шагом в атаке программ-вымогателей.
Как обычно, атака начинается с попытки фишинга. Злоумышленник отправляет письмо жертве, прикрепляя HTML-файл, который, в свою очередь, загружает защищенный паролем ZIP-архив. Защита паролем помогает полезной нагрузке избежать обнаружения антивирусом. (откроется в новой вкладке) программы. При извлечении архива .ZIP отображается файл .ISO, цифровой формат файла, воспроизводящий физический компакт-диск, DVD или BD. При монтировании .ISO появляются четыре файла: два .DLL-файла (один из которых представляет собой вредоносное ПО Qbot), один ярлык (представляющий собой файл, который должна открыть жертва) и программа-калькулятор (calc.exe).
Запуск вредоносных DLL
Ярлык не делает ничего, кроме вызова калькулятора, но вот что самое интересное: когда калькулятор запускается, он ищет файлы .DLL, необходимые для правильной работы. Он не будет искать их в конкретных папках, а в первую очередь – в той же папке, что и calc.exe. Что возвращает нас к двум файлам .DLL, которые жертва скачала вместе с Калькулятором.
Запуск калькулятора запустит первый файл .DLL, а тот запустит второй, или, в данном случае, вредоносное ПО Qbot.
Эта практика также известна как боковая загрузка DLL.
Также стоит отметить, что эта атака не работает в Windows 10 или Windows 11. (откроется в новой вкладке), но работает в Windows 7, поэтому злоумышленники связывают версию для Windows 7. Кампания была активна с 11 июля и, по-видимому, все еще активна на момент публикации.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
