Киберпреступники распространяют вредоносное ПО Qbot, используя калькулятор Windows 7.
исследователь безопасности ПроксиЛайф Узнайте, как с помощью анализа QBotСредство удаления вредоносных программ. Rail открывает двери для атак программ-вымогателей. Киберпреступникам нужен бесшумный способ обмена данными с целевым устройством. Капельница — это первый шаг.
Большинство профессиональных мер безопасности предотвращают появление капель. Следовательно, поезда должны оставаться вне поля зрения. Неопубликованная загрузка DLL — распространенная тактика. Хакер скрывает вредоносные файлы с помощью легитимного приложения, что не позволяет процессу вызывать оповещения. Дистрибьюторы Qbot выбрали калькулятор Windows 7.
метод
атака Начинается с троллинга. Жертвы нажимают на HTML-файл и скачивают архив в формате ZIP. Архив .ZIP содержит файл .ISO. Жертв просят загрузить файл ISO. В результате получается четыре файла: два файла .DLL, ярлык и калькулятор (calc.exe). Жертвы нажимают на ярлык, и открывается калькулятор.
Калькулятор для Windows 7 основан на серии файлов .DLL. Оттуда приложение будет автоматически искать необходимые библиотеки DLL. Первый сайт поиска — это сам каталог калькулятора. Калькулятор находит включенные библиотеки DLL и неосознанно запускает дроппер. Средства безопасности Windows 7 не могут отличить процесс от калькулятора, поэтому дроппер работает ненавязчиво.
защита
Описание файлов и методов ProxyLife в файле Сайт охранной компании Cyble. Детали позволяют Dropper противостоять брандмауэрам и политикам Windows. Метод работает только на Windows 7. Windows 10 и Windows 11 не подвержены риску.
«Сертифицированный телезритель. Вызывающе скромный зомби-ниндзя. Защитник кофе. Веб-эксперт. Решатель проблем».
More Stories
RM (BTS) анонсируют свой новый альбом «Right Place, Wrong Person».
Что мы знаем о новом Chromecast с Google TV (4K)
Будущее здравоохранения умещается на вашем запястье – Samsung Newsroom Россия