Hackers hebben een ongebruikelijke en onconventionele methode gevonden om pc's met malware te infecteren: het verspreiden van gevaarlijke code met Windows Calculator.
De personen achter de bekende QBot-malware zijn erin geslaagd een manier te vinden om het programma te gebruiken om kwaadaardige code op geïnfecteerde systemen te laden.
Als gemeld door Bleeping ComputerSide-loading van Dynamic Link Libraries (DLL's) vindt plaats wanneer een daadwerkelijke DLL wordt vervalst, waarna deze wordt verplaatst naar een map om het besturingssysteem van de machine te misleiden om de vervalste versie te laden in plaats van de echte DLL bestanden.
Aanbevolen video's
QBot, een variant van Windows-malware, stond aanvankelijk bekend als een banktrojan. Echter, ransomware-bendes vertrouwen er nu op vanwege de evolutie ervan naar een malwaredistributieplatform.
Volgens beveiligingsonderzoeker ProxyLife maakt QBot vooral gebruik van het Windows 7 Calculator-programma om DLL-sideloading-aanvallen uit te voeren. Deze aanvallen infecteren pc's minstens sinds 11 juli en het is ook een effectieve methode voor het uitvoeren van kwaadaardige spamcampagnes (malspam).
E-mails die de malware bevatten in de vorm van een HTML-bestandsbijlage bevatten een ZIP-archief dat wordt geleverd met een ISO-bestand, dat een .LNK-bestand, een kopie van ‘calc.exe’ (Windows Calculator), evenals twee DLL-bestanden: WindowsCodecs.dll, vergezeld door een kwaadaardige payload (7533.dll).
Bij het openen van het ISO-bestand wordt uiteindelijk een snelkoppeling uitgevoerd, die bij verder onderzoek van het eigenschappendialoogvenster voor de bestanden wordt gekoppeld aan de Windows Calculator-app. Zodra die snelkoppeling is geopend, infiltreert de infectie het systeem met QBot-malware via de opdrachtprompt.
Vanwege het feit dat Windows Calculator duidelijk een vertrouwd programma is, waardoor het systeem wordt misleid om een payload via de app te distribueren betekent dat beveiligingssoftware de malware zelf mogelijk niet kan detecteren, waardoor het een uiterst effectieve (en creatieve) manier is om deze te vermijden detectie.
Dat gezegd hebbende, kunnen hackers de DLL-sideloading-techniek niet langer gebruiken op Windows 10 of Windows 11, dus iedereen met Windows 7 moet op zijn hoede zijn voor verdachte e-mails en ISO-bestanden.
Windows Calculator is geen programma dat gewoonlijk door bedreigingsactoren wordt gebruikt om doelen mee te infiltreren, maar wanneer het dat wel doet komt tot de huidige staat van hacken en de vooruitgang ervan, niets lijkt buiten het bereik van te liggen mogelijkheid. De eerste verschijning van QBot zelf vond meer dan tien jaar geleden plaats en werd eerder gebruikt voor ransomware-doeleinden.
Elders hebben we in 2022 een agressief tempo van activiteit op het gebied van malware en hacking gezien, zoals de grootste HTTPS DDoS-aanval in de geschiedenis. Ransomwarebendes zelf evolueren ookHet is dus geen verrassing dat ze voortdurend mazen in de wet vinden waar ze van kunnen profiteren.
Met de alarmerende toename van cybercriminaliteit in het algemeen heeft technologiegigant Microsoft dat zelfs gedaan een cyberbeveiligingsinitiatief gelanceerd, waarbij het “beveiligingslandschap steeds uitdagender en complexer wordt voor onze klanten.”
Aanbevelingen van de redactie
- Creëert ChatGPT een cybersecurity-nachtmerrie? Wij vroegen het aan de deskundigen
- Hackers gebruiken een slinkse nieuwe truc om uw apparaten te infecteren
- Nee, 1Password is niet gehackt – dit is wat er werkelijk is gebeurd
- Hackers gebruiken AI om gevaarlijke malware op YouTube te verspreiden
- Door deze grote Apple-bug kunnen hackers uw foto's stelen en uw apparaat wissen
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
