Троянец заразява компютри с Windows през калкулатора

PixaBay.com
geralt

Троянец заразява компютри с Windows през калкулатора

Под заплаха са по-стари операционни системи и потребители, отварящи спам имейли

Александър Главчев
285 прочитания

PixaBay.com

© geralt


Операторите на зловредния софтуер Qbot са възприели за заразяване на крайни устройства стартиране на калкулатора в Windows 7. Това е трик, наречен странично зареждане на DLL. Схемата е сравнително проста: фалшив (зловреден) DLL се поставя в правилната директория и операционната система го зарежда вместо легитимен файл.

Нападателите изпращат спам имейли с прикачен HTML файл, който от своя страна изтегля ZIP архив със скрит ISO файл. Архивът е защитен с парола, което предотвратява откриването на зловредните компоненти от антивирусните приложения, но паролата се съдържа в оригиналния HTML файл.

ISO-то съдържа .LNK файл, копие на приложението Windows Calculator и два DLL файла: WindowsCodecs.dll и още зловредна DLL библиотека. Ако потенциална жертва отвори ISO файла, тя вижда само .LNK файла, който изглежда като PDF или съдържа команда за отваряне на страница в браузъра Microsoft Edge.

Когато се стартира приложението "Калкулатор" в Windows 7, той автоматично търси и се опитва да стартира легитимен файл WindowsCodecs.dll. Не са предвидени ограничения за местоположението му и затова отваря всеки файл със същото име, стига той де се намира в същата директория като изпълнимия файл Calc.exe.

Фалшивият WindowsCodecs.dll зарежда втората от споменатите по-горе библиотеки - това е тялото на зловредния софтуер Qbot. Според изследовател на ProxyLife атаки с използване на тази схема започнали на 11 юли 2022 г.

Интересно е да се отбележи, че описаният трик работи само на по-стари операционни системи. Страничното зареждане през калкулатора в Windows 10 и 11 вече не функционира.

Qbot, известен още като Qakbot, се появи през 2009 г. Първоначално това беше банков троянец, който след това постепенно се превърна в т.нар. дропър, тоест програма за изтегляне, използвана за доставяне на друг зловреден софтуер до компрометирани системи.

Qbot се използва активно от групи за криптиране в ранните етапи на атаки за инсталиране на "маяци" на Cobalt Strike. "Клиентите" на Qbot включват криптовирусите RansomExx, Maze, ProLock и Egregor. Наскоро рансъмуерът Black Basta също беше засечен да се разпространява чрез него.

Операторите на зловредния софтуер Qbot са възприели за заразяване на крайни устройства стартиране на калкулатора в Windows 7. Това е трик, наречен странично зареждане на DLL. Схемата е сравнително проста: фалшив (зловреден) DLL се поставя в правилната директория и операционната система го зарежда вместо легитимен файл.

Нападателите изпращат спам имейли с прикачен HTML файл, който от своя страна изтегля ZIP архив със скрит ISO файл. Архивът е защитен с парола, което предотвратява откриването на зловредните компоненти от антивирусните приложения, но паролата се съдържа в оригиналния HTML файл.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК