Cyberkriminella distribuerar Qbot skadlig kod med hjälp av Windows 7-kalkylatorn.

Säkerhetsforskare ProxyLife öppnad metod under analys QBot, skadlig programvara. Droppers öppnar dörren till ransomware-attacker. Cyberkriminella behöver ett tyst sätt att kommunicera med målets enhet. Dropparen är det första steget.

De flesta professionella säkerhetsåtgärder stoppar droppar. Därför måste droppar förbli utom synhåll. Laddning av opublicerad DLL är en vanlig taktik. Hackaren döljer skadliga filer med ett legitimt program, vilket förhindrar att denna process utlöser varningar. Qbot-distributörer har valt Windows 7-kalkylatorn.

Metod

Ge sig på börjar med nätfiske. Offren klickar på HTML-filen och laddar ner ZIP-arkivet. .ZIP-arkivet innehåller .ISO-filen. Offren uppmanas att montera .ISO-filen. Detta skapar fyra filer: två .DLL-filer, en genväg och en kalkylator (calc.exe). Offren klickar på genvägen och kalkylatorn öppnas.

Windows 7-kalkylatorn använder en uppsättning .DLL-filer. Därifrån kommer programmet automatiskt att leta efter de nödvändiga DLL-filerna. Det första stället att leta är katalogen för själva räknaren. Kalkylatorn hittar de inkluderade DLL:erna och startar omedvetet dropparen. Säkerhetsverktygen i Windows 7 kan inte skilja en process från en kalkylator, så dropparen fungerar sömlöst.

Förebyggande

ProxyLife beskrev filerna och metoden på Cyble säkerhetsföretagets webbplats. Detaljerna gör att du kan motverka droppen med brandväggar och Windows-policyer. Metoden fungerar bara på Windows 7. Windows 10 och Windows 11 är inte i riskzonen.

Dricks: Från säkerhetskopiering till cyberresiliens: från teknisk diskussion till strategisk