Вы никогда не догадаетесь, для чего хакеры используют Microsoft Calculator

Дядя Влад

Хакеры нашли необычный и нетрадиционный способ заражения ПК вредоносными программами: распространение опасного кода с помощью Windows Calculator.

Авторы известной вредоносной программы QBot сумели найти способ использовать программу для боковой загрузки вредоносного кода в зараженные системы.

Изображение хакера, взломавшего систему с помощью кода.
Гетти Изображений

Как сообщает Bleeping Computer , неопубликованная загрузка библиотек динамической компоновки (DLL) — это когда реальная DLL подделывается, после чего она перемещается в папку, чтобы обмануть операционную систему машины, загрузив измененную версию, а не настоящую DLL. файлы.

QBot, штамм вредоносного ПО для Windows, изначально был известен как банковский троян. Однако банды вымогателей теперь полагаются на него из-за его эволюции в платформу распространения вредоносных программ.

По словам исследователя безопасности ProxyLife, QBot использует программу калькулятора Windows 7, в частности, для выполнения атак с боковой загрузкой DLL. Эти атаки заражают ПК как минимум с 11 июля, а также являются эффективным методом проведения вредоносных спам-кампаний (malspam).

Электронные письма, содержащие вредоносное ПО в виде вложенного файла HTML, включают ZIP-архив, который поставляется с файлом ISO, который содержит файл .LNK, копию «calc.exe» (калькулятор Windows), а также два файла DLL. : WindowsCodecs.dll, к которому присоединена вредоносная полезная нагрузка (7533.dll).

Открытие файла ISO в конечном итоге запускает ярлык, который после дальнейшего изучения диалогового окна свойств файлов связан с приложением Windows Calculator. После открытия этого ярлыка инфекция проникает в систему с вредоносным ПО QBot через командную строку.

Новая версия приложения Калькулятор в Windows 11.

Из-за того, что Windows Calculator, очевидно, является надежной программой, обман системы для распределения полезной нагрузки через приложение означает, что программное обеспечение безопасности может не обнаружить само вредоносное ПО, что делает его чрезвычайно эффективным и творческим способом избежать обнаружения.

Тем не менее, хакеры больше не могут использовать технику боковой загрузки DLL в Windows 10 или Windows 11, поэтому всем, у кого есть Windows 7, следует опасаться любых подозрительных электронных писем и файлов ISO.

Калькулятор Windows не является программой, обычно используемой злоумышленниками для проникновения в цели, но когда дело доходит до текущего состояния взлома и его развития, кажется, что нет ничего за пределами возможного. Первое появление самого QBot произошло более десяти лет назад, и ранее он использовался для программ-вымогателей.

В других местах мы наблюдаем агрессивную активность в области вредоносных программ и хакерских атак в течение 2022 года, например, крупнейшую в истории HTTPS-атаку DDoS . Сами банды вымогателей также развиваются , поэтому неудивительно, что они постоянно находят лазейки, чтобы извлечь выгоду.

В связи с тревожным ростом киберпреступности в целом технологический гигант Microsoft даже запустил инициативу в области кибербезопасности , при этом «ландшафт безопасности [становится] все более сложным и сложным для наших клиентов».