黑客发现了一种不寻常且非常规的方法来用恶意软件感染 PC:使用 Windows Calculator 分发危险代码。
众所周知的 QBot 恶意软件背后的人已经设法找到一种方法来使用该程序在受感染的系统上加载恶意代码。
正如Bleeping Computer 所报道的,动态链接库 (DLL) 侧载是指实际的 DLL 被欺骗,然后将其移动到一个文件夹以欺骗机器的操作系统加载篡改的版本,而不是真正的 DLL文件。
QBot 是一种 Windows 恶意软件,最初被称为银行木马。然而, 勒索软件团伙现在依赖它,因为它演变成一个恶意软件分发平台。
据安全研究人员 ProxyLife 称,QBot 一直在利用 Windows 7 Calculator 程序来执行 DLL 侧载攻击。这些攻击至少从 7 月 11 日开始感染 PC,这也是执行恶意垃圾邮件 (malspam) 活动的有效方法。
包含 HTML 文件附件形式的恶意软件的电子邮件包括一个带有 ISO 文件的 ZIP 存档,其中包含一个 .LNK 文件、“calc.exe”(Windows 计算器)的副本以及两个 DLL 文件:WindowsCodecs.dll,由恶意负载 (7533.dll) 加入。
打开 ISO 文件最终会执行一个快捷方式,在进一步调查文件的属性对话框后,该快捷方式会链接到 Windows 的计算器应用程序。一旦打开该快捷方式,感染就会通过命令提示符用 QBot 恶意软件渗入系统。
由于 Windows Calculator 显然是一个受信任的程序,欺骗系统通过应用程序分发有效负载意味着安全软件可能无法检测到恶意软件本身,这使其成为一种非常有效且具有创造性的避免检测的方法。
也就是说,黑客不能再在 Windows 10 或 Windows 11 上使用 DLL 侧载技术,因此任何使用 Windows 7 的人都应该警惕任何可疑的电子邮件和 ISO 文件。
Windows Calculator 不是威胁行为者常用来渗透目标的程序,但是当谈到当前的黑客攻击状态及其进步时,似乎没有什么是不可能的。 QBot 本身的第一次出现发生在十多年前,之前曾被用于勒索软件目的。
在其他地方,我们已经看到整个 2022 年恶意软件和黑客领域的活跃速度,例如历史上最大的 HTTPS DDoS 攻击。勒索软件团伙本身也在不断发展,因此他们不断寻找漏洞以从中受益也就不足为奇了。
随着总体上网络犯罪的惊人增长,科技巨头微软甚至发起了一项网络安全计划,“对我们的客户来说,安全形势[变得]越来越具有挑战性和复杂性。”