En säkerhetsforskare presenterade en ny QBot-kampanj i det vilda, och utnyttjade den legitima Windows 7 Calculator-appen för att sidladda skadlig programvara i målets maskin.
Kampanjen börjar med ett nätfiske-e-postmeddelande och ber intet ont anande personer att ladda ner HTML-filerna och motsvarande filer inom, vilket så småningom släpper in QBot skadlig kod i systemet. Och användningen av Windows-kalkylatorn är att undvika upptäckt av antivirusprogram.
QBot Malware Ny kampanj
Börjar som en enkel bakdörr skadlig kod, QBot (även känd som Qakbot) skadlig programvara har gradvis vuxit till en sofistikerad lastdroppare idag [1, 2, 3, 4]som betjänar stora botnät- och ransomware-gäng över hela världen.
Eftersom det är den första träffpunkten i offrets maskiner, kom QBot-utvecklarna på en ny teknik för att utnyttja dem. Och det är genom Windows 7 Calculator-appen – och utnyttjar dess okontrollerade stöd för sidladdning.
Som detaljerat av ProxyLifeen säkerhetsforskare, kampanjen börjar med ett nätfiske-e-postmeddelande som innehåller en HTML-fil – som ber användaren att öppna den för att komma åt viktig information. Och när en intet ont anande användare gör det, laddar klicket ner en lösenordsskyddad zip-fil – där den påstådda informationen lagras.
#Qakbot – obama200 – html > .zip > .iso > .lnk > calc.exe > .dll > .dll
T1574 – DLL-sökorderkapning
cmd.exe /q /c calc.exe
regsvr32 /s C:UsersUserAppDataLocalTempWindowsCodecs.dll
regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh
IOK:shttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR
— proxylife (@pr0xylife) 11 juli 2022
Zip-filen är lösenordsskyddad eftersom antivirusprogram inte kan nå dem för att skanna. Men det är den egentlige boven, säger Cyble-forskareeftersom den innehåller QBot malware och andra skadliga filer. Den innehåller en ISO-fil – som i sin tur innehåller en .LNK-fil, en kopia av ‘calc.exe’ och två DLL-filer – WindowsCodecs.dll och en nyttolast som heter 7533.dll.
Genom att klicka på genvägsfilerna utlöses installationen av Calc.exe via kommandotolken. I denna process är det meningen att kalkylatorappen ska ladda en legitim WindowsCodecs DLL-fil från en djup systemmapp, vilket är vad QBot-hackarna ersätter med en skadlig.
Eftersom Windows 7 Calculator-appen inte kontrollerar filen innan den laddas, använder hackarna denna blinda sidoladdningsfunktion för att ladda sin QBot-skadlig programvara i systemet. Även om den här typen av spoofing DLL-filer i Windows 10 och 11 kalkylatorappar inte är möjliga, vilket gör att hackaren bara riktar sig till Windows 7-användare.
