QBot usa Calculadora do Windows para infectar dispositivos

qbot-usa-calculadora-do-windows-para-infectar-dispositivos

Os operadores de malwares estão cada vez mais ardilosos. Agora, por exemplo, os operadores do malware QBot estão usado a Calculadora do Windows para carregar carga maliciosa e infectar dispositivos.

O QBot (ou Qakbot) é uma variedade de malware do Windows que começou como um trojan bancário, mas evoluiu para um dropper de malware e é usado por gangues de ransomware nos estágios iniciais do ataque para eliminar os beacons Cobalt Strike.

QBot infectando dispositivos via Calculadora do Windows

O pesquisador de segurança ProxyLife descobriu recentemente que o QBot vem abusando do aplicativo Calculadora do Windows 7 para ataques de carregamento lateral de DLL desde pelo menos 11 de julho. O método continua a ser usado em campanhas de spam.

Para ajudar os defensores a se protegerem contra essa ameaça, a ProxyLife e os pesquisadores da Cyble documentaram a mais recente cadeia de infecção do QBot.

Os e-mails usados ??na campanha mais recente carregam um anexo de arquivo HTML que baixa um arquivo ZIP protegido por senha com um arquivo ISO dentro. A senha para abrir o arquivo ZIP é mostrada no arquivo HTML e o motivo do bloqueio do arquivo é evitar a detecção do antivírus.

qbot-usa-calculadora-do-windows-para-infectar-dispositivos
Imagem: Bleeping Computer

A ISO contém um arquivo .LNK, uma cópia de ‘calc.exe’ (Windows Calculator) e dois arquivos DLL, chamados WindowsCodecs.dll e uma carga chamada 7533.dll. Quando o usuário monta o arquivo ISO, ele exibe apenas o arquivo .LNK, que é mascarado para parecer um PDF contendo informações importantes ou um arquivo que é aberto com o navegador Microsoft Edge.

No entanto, o atalho aponta para o aplicativo Calculadora no Windows, conforme visto na caixa de diálogo de propriedades dos arquivos. Clicar no atalho aciona a infecção executando o Calc.exe por meio do prompt de comando.

qbot-usa-calculadora-do-windows-para-infectar-dispositivos
Imagem: Bleeping Computer

Quando carregada, a Calculadora do Windows 7 automaticamente procura e tenta carregar o arquivo DLL WindowsCodecs legítimo. No entanto, ele não verifica a DLL em determinados caminhos codificados e carregará qualquer DLL com o mesmo nome se colocada na mesma pasta que o executável Calc.exe.

Os agentes de ameaças aproveitam essa falha criando seu próprio arquivo WindowsCodecs.dll malicioso que inicia o outro arquivo [numerado].dll, que é o malware QBot.

Ao instalar o QBot por meio de um programa confiável como a Calculadora do Windows, alguns softwares de segurança podem não detectar o malware quando ele é carregado, permitindo que os agentes de ameaças evitem a detecção.

Deve-se notar que essa falha de sideload de DLL não funciona mais no Windows 10 Calc.exe e posterior, e é por isso que os agentes de ameaças agrupam a versão do Windows 7.