Хакеры вооружились калькуляторами и атакуют Windows 7

Qbot Windows 7 Windows вредоносное ПО DLL Microsoft Edge
Вредонос QBot заражает устройства под управлением Windows 7, маскируясь под легитимное приложение.

Хакеры вооружились калькуляторами и атакуют Windows 7

Qbot , также известный как Qakbot, использует калькулятор Windows 7 для подмены DLL . Подмена DLL – атака, основанная на замене легитимного DLL-файла на вредоносную библиотеку. Доставка стороннего компонента может производиться как при помощи специального загрузчика, внедряемого в систему, так и через пользовательские файлы, обрабатываемые использующей библиотеку программой. Результатом подмены DLL является выполнение стороннего кода в среде скомпрометированного приложения.
В последней вредоносной кампании QBot распространяется с помощью фишинговых электронных писем, содержащих HTML-файл, который загружает защищенный паролем ZIP-архив, содержащий ISO-файл.
ISO-файл содержит четыре файла:
Полезную нагрузку 7533.dll;
Полезную нагрузку WindowsCodecs.dll;
Приложение под названием calc.exe.
.LNK-файл
Если пользователь устанавливает этот ISO-файл, он показывает жертве .LNK-файл, который выдает себя за PDF-файл с важными данными или файл, открывающийся в браузере Microsoft Edge . Если жертва откроет файл, то она будет перенаправлена на приложение калькулятора Windows. Кликнув на приложение, жертва запускает цепочку заражения на своем устройстве.
Затем калькулятор Windows 7 ищет и пытается загрузить подлинный DLL-файл WindowsCodecs. Согласно сообщению экспертов, калькулятор не ищет DLL в жестко закодированных местах, а просто загружает любой DLL с тем же именем, если она помещена в папку с calc.exe.
Это позволяет избежать обнаружения, так как QBot внедряется в легитимные приложения. Кроме того, подмена DLL доступна только в Windows 7, так как в Windows 10 и более поздних версиях уязвимость была исправлена.

SECURITYLAB.RU

Источник