Киберпреступники используют калькулятор Windows как дроппер вредоносного ПО

Киберпреступники распространяют вредоносное ПО Qbot, используя калькулятор Windows 7.

исследователь безопасности ПроксиЛайф Узнайте, как с помощью анализа QBotСредство удаления вредоносных программ. Rail открывает двери для атак программ-вымогателей. Киберпреступникам нужен бесшумный способ обмена данными с целевым устройством. Капельница — это первый шаг.

Большинство профессиональных мер безопасности предотвращают появление капель. Следовательно, поезда должны оставаться вне поля зрения. Неопубликованная загрузка DLL — распространенная тактика. Хакер скрывает вредоносные файлы с помощью легитимного приложения, что не позволяет процессу вызывать оповещения. Дистрибьюторы Qbot выбрали калькулятор Windows 7.

метод

атака Начинается с троллинга. Жертвы нажимают на HTML-файл и скачивают архив в формате ZIP. Архив .ZIP содержит файл .ISO. Жертв просят загрузить файл ISO. В результате получается четыре файла: два файла .DLL, ярлык и калькулятор (calc.exe). Жертвы нажимают на ярлык, и открывается калькулятор.

Калькулятор для Windows 7 основан на серии файлов .DLL. Оттуда приложение будет автоматически искать необходимые библиотеки DLL. Первый сайт поиска — это сам каталог калькулятора. Калькулятор находит включенные библиотеки DLL и неосознанно запускает дроппер. Средства безопасности Windows 7 не могут отличить процесс от калькулятора, поэтому дроппер работает ненавязчиво.

защита

Описание файлов и методов ProxyLife в файле Сайт охранной компании Cyble. Детали позволяют Dropper противостоять брандмауэрам и политикам Windows. Метод работает только на Windows 7. Windows 10 и Windows 11 не подвержены риску.

совет: От резервного копирования к электронной гибкости: от технического обсуждения к стратегическому обсуждению