27 Июля 2022 09:06 27 Июл 2022 09:06 |

Поделиться

Древний троян пробудился и заражает Windows через «Калькулятор»

Вредоносная «матрешка»

Операторы вредоноса Qbot начали использовать новую схему заражения конечных устройств через вызов «Калькулятора» Windows. Речь идет о приеме под названием побочная загрузка DLL. Схема относительна проста: фальшивая (вредоносная) библиотека динамических подключений DLL помещается в нужный каталог, и операционная система подгружает ее вместо легитимного файла.

На практике процедура заражения выглядит следующим образом. Злоумышленники рассылают спам-письма с вложением в виде HTML-файла, который, в свою очередь, скачивает ZIP-архив, внутри которого запрятан файл ISO. Архив запаролен, что предотвращает обнаружение вредоносных компонентов антивирусами, однако пароль содержится в первоначальном HTML-файле:

Образ ISO содержит файл .LNK, копию приложения «Калькулятор» под Windows и два DLL-файла: WindowsCodecs.dll и вредоносную библиотеку 7533.dll (число в названии может быть любым).

Если потенциальная жертва монтирует файл ISO, ей отображается только файл .LNK, который выглядит как PDF или содержит команду на открытие страницы браузере Microsoft Edge.

При этом если открыть свойства файла, то обнаружится, что он ссылается на приложение «Калькулятор» (С:\Windows\System32\cmd.exe /q /c calc.exe). Стоит отметить, что целью атак являются системы под управлением ОС Windows 7.

При запуске «Калькулятор» под Windows 7 автоматически ищет и пытается запустить легитимный файл WindowsCodecs.dll. Однако ограничений на месторасположение этого файла в программе нет, и он легко запускает любой файл с тем же названием, если тот находится в одном каталоге с исполняемым файлом Calc.exe.

Поддельный WindowsCodecs.dll загружает вторую библиотеку — DLL с численным названием, а это и есть тело вредоноса Qbot.

По данным исследователя ProxyLife, атаки с использованием «Калькулятора» начались 11 июля 2022 г.

Работает только со старыми ОС

«Калькулятор» Windows — доверенная программа, и некоторые антивирусы могут проигнорировать установку вредоноса через нее.

Побочная загрузка через «Калькулятор» в Windows 10 и 11 уже не срабатывает, так что злоумышленники таким образом могут атаковать только машины под управлением старых операционных систем.

Qbot, он же Qakbot появился в 2009 г. Изначально это был банковский троянец, который затем постепенно эволюционировал в дроппера, то есть в загрузчика, используемого для доставки других вредоносных программ в скомпрометированные системы.

Qbot активно используется шифровальными группировками на ранних стадиях атак для установки «маяков» Cobalt Strike. Среди клиентов Qbot — шифровальщики RansomExx, Maze, ProLock, and Egregor; недавно через него также распространялся шифровальщик Black Basta.

«Поговорка “старый конь борозды не испортит” справедлива и для средств доставки вредоносного ПО, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Qbot по меркам вредоносных программ — долгожитель; его эффективность однако не снижается с годами, поскольку его операторы продолжают его модифицировать и находить новые способы применения. К тому же на сегодняшний день можно сказать, что Qbot — это обычно лишь один из элементов весьма комплексных и глубоко эшелонированных инфраструктур, через которые осуществляется доставка вредоносных программ на конечные устройства. Чем более проверенными оказываются их элементы, тем охотнее ими пользуются».

Роман Георгиев

Поделиться

Короткая ссылка