Хакеры вооружились калькуляторами и атакуют Windows 7

Qbot , также известный как Qakbot, использует калькулятор Windows 7 для подмены DLL . Подмена DLL – атака, основанная на замене легитимного DLL-файла на вредоносную библиотеку. Доставка стороннего компонента может производиться как при помощи специального загрузчика, внедряемого в систему, так и через пользовательские файлы, обрабатываемые использующей библиотеку программой. Результатом подмены DLL является выполнение стороннего кода в среде скомпрометированного приложения.

В последней вредоносной кампании QBot распространяется с помощью фишинговых электронных писем, содержащих HTML-файл, который загружает защищенный паролем ZIP-архив, содержащий ISO-файл.

ISO-файл содержит четыре файла:

• Полезную нагрузку 7533.dll;

• Полезную нагрузку WindowsCodecs.dll;

• Приложение под названием calc.exe.

• .LNK-файл

Если пользователь устанавливает этот ISO-файл, он показывает жертве .LNK-файл, который выдает себя за PDF-файл с важными данными или файл, открывающийся в браузере Microsoft Edge . Если жертва откроет файл, то она будет перенаправлена на приложение калькулятора Windows. Кликнув на приложение, жертва запускает цепочку заражения на своем устройстве.

Затем калькулятор Windows 7 ищет и пытается загрузить подлинный DLL-файл WindowsCodecs. Согласно сообщению экспертов, калькулятор не ищет DLL в жестко закодированных местах, а просто загружает любой DLL с тем же именем, если она помещена в папку с calc.exe.

Это позволяет избежать обнаружения, так как QBot внедряется в легитимные приложения. Кроме того, подмена DLL доступна только в Windows 7, так как в Windows 10 и более поздних версиях уязвимость была исправлена.