Один из самых любимых инструментов Windows на самом деле может представлять огромную угрозу безопасности.
25 июля 2022 г.Калькулятор, один из самых простых (и наиболее полезных) инструментов Windows, используется для загрузки вредоносного ПО в цель конечные точки.
Эксперты ProxyLife обнаружили, что инструмент калькулятора Windows можно использовать для заражения устройства Qbot, известным вредоносное ПО, используемое для доставки маяков Cobalt Strike на целевые устройства, что часто является первым шагом в атака программ-вымогателей.
Как обычно, атака начинается с попытки фишинга. Злоумышленник отправляет письмо жертве, прикрепляя HTML-файл, который, в свою очередь, загружает защищенный паролем ZIP-архив. Защита паролем помогает полезной нагрузке избежать обнаружения со стороны антивирусных программ. При извлечении архива .ZIP отображается файл .ISO, цифровой формат файла, воспроизводящий физический компакт-диск, DVD или BD. При монтировании .ISO появляются четыре файла: два .DLL-файла (один из которых представляет собой вредоносное ПО Qbot), один ярлык (представляющий собой файл, который должна открыть жертва) и программа-калькулятор (calc.exe).
Запуск вредоносных библиотек DLL
Ярлык не делает ничего, кроме вызова калькулятора, но вот что интересно: когда калькулятор запускается, он ищет файлы .DLL, необходимые для правильной работы. Он не будет искать их в конкретных папках, а в первую очередь — в той же папке, что и calc.exe. Что возвращает нас к двум файлам .DLL, которые жертва загрузила вместе с калькулятором.
Запуск калькулятора вызовет запуск первого файла .DLL, а затем второго, или, в данном случае, вредоносного ПО Qbot.
Этот метод также известен как неопубликованная загрузка DLL.< /p>
Стоит также отметить, что эта атака не работает в Windows 10 или Windows 11, но работает в Windows 7, поэтому злоумышленники связывают версию для Windows 7. Кампания была активна с 11 июля и, по-видимому, все еще активна на момент публикации.
- Это лучшие сервисы межсетевого экрана прямо сейчас
Через: BleepingComputer
Оригинал