Header Ads Widget

La nueva campaña de QBot está explotando la aplicación Calculadora de Windows 7


La nueva campaña de QBot está explotando la aplicación Calculadora de Windows 7

Un investigador de seguridad detalló una nueva campaña de QBot en la naturaleza, explotando la aplicación legítima Calculadora de Windows 7 para cargar el malware en la máquina del objetivo.

Comenzando con un correo electrónico de phishing, la campaña pide a las personas desprevenidas que descarguen los archivos HTML y los correspondientes, lo que eventualmente arroja el malware QBot en el sistema. Y el uso de la calculadora de Windows es para evitar la detección por parte del software antivirus.

Nueva campaña de malware QBot

Comenzando como un simple malware de puerta trasera, el malware QBot (también conocido como Qakbot) se ha convertido gradualmente en un cuentagotas de carga útil sofisticado en la actualidad , que sirve a las principales pandillas de botnet y ransomware en todo el mundo.

Dado que es el primer punto de impacto en las máquinas de las víctimas, los desarrolladores de QBot idearon una nueva técnica para explotarlas. Y es a través de la aplicación Calculadora de Windows 7 , aprovechando su soporte de carga lateral sin control.

Como detalló ProxyLife , un investigador de seguridad, la campaña comienza con un correo electrónico de phishing que contiene un archivo HTML y le pide al usuario que lo abra para acceder a información importante. Y cuando un usuario desprevenido lo hace, el clic descarga un archivo zip protegido por contraseña, en el que se almacena la supuesta información.

El archivo zip está protegido con contraseña ya que el software antivirus no puede acceder a ellos para escanear. Pero es el verdadero culpable, dicen los investigadores de Cyble , ya que contiene el malware QBot y otros archivos maliciosos. Contiene un archivo ISO, que a su vez contiene un archivo .LNK, una copia de 'calc.exe' y dos archivos DLL: WindowsCodecs.dll y una carga llamada 7533.dll.

Al hacer clic en los archivos de acceso directo, se activa la instalación de Calc.exe a través del símbolo del sistema. En este proceso, se supone que la aplicación de calculadora carga un archivo DLL legítimo de WindowsCodecs desde una carpeta profunda del sistema, que es lo que los piratas informáticos de QBot reemplazan por uno malicioso.

Dado que la aplicación Calculadora de Windows 7 no verifica el archivo antes de cargarlo, los piratas informáticos están aprovechando esta funcionalidad de carga lateral ciega para cargar su malware QBot en el sistema. Aunque, este tipo de suplantación de archivos DLL en las aplicaciones de calculadora de Windows 10 y 11 no es posible, lo que hace que el hacker se dirija solo a los usuarios de Windows 7

Publicar un comentario

0 Comentarios