Как этот банковский троянец QBot использует калькулятор Windows с вредоносным ПО

Атака банковского троянца QBot
Вредоносные спамеры рассылают электронные письма, в которых используется законная копия приложения Windows Calculator для загрузки вредоносного ПО. Это еще одна хитрая уловка субъектов киберугроз, однако жертва должна будет добровольно пройти через несколько процессов, чтобы стать жертвой схемы банковского трояна QBot . Ниже мы поговорим о характеристиках этой вредоносной программы и о том, как она стремится заразить компьютер жертвы. В свою очередь, это знание должно помочь вам распознать похожий подозрительный спам, рассылаемый по электронной почте (malware spam).
Согласно нашему заголовку, злоумышленники в настоящее время пытаются распространять вредоносное ПО Qbot, используя известное и надежное приложение Windows Calculator. Процесс от спама со ссылкой на вредоносное ПО до заражения пользователя будет выглядеть примерно так:

  • Пользователь получает нежелательное электронное письмо, содержащее вложенный файл .HTML.
  • Если пользователь щелкнет и откроет файл .HTML, ему будет предложено загрузить защищенный паролем файл .ZIP.
  • Пароль .ZIP находится в файле .HTML, поэтому пользователь может открыть и распаковать его. До этого времени ни одно антивирусное или антивредоносное приложение не могло сканировать содержимое .ZIP.
  • Распакованный архив содержит файл .ISO, который при открытии пользователем монтирует образ DVD, раскрывая содержимое.
  • Пользователям рекомендуется открывать файл ярлыка .LNK, который выглядит как документ .PDF. Однако, как ярлык Windows, он может запускать цепочку команд.
  • Если пользователь выполнил вышеуказанные шаги, возможно, благодаря какой-то социальной инженерии, откроется командная строка, и ему будет предложено открыть Calc.exe.
  • Это подлинное приложение Calc.exe, но из дистрибутива Windows 7. Таким образом, он не должен вызывать никакой антивирусной реакции. Однако версия Calc.exe для Windows 7 имеет уязвимость, из-за которой она загружает файлы .DLL, которые находятся в образе DVD рядом с ней (эта уязвимость была исправлена ​​в более поздних версиях калькулятора).

Если пользователь выполнил все вышеперечисленные шаги, он становится уязвимым для множества вредоносных программ, включая ряд «популярных», но неприятных полезных нагрузок программ-вымогателей. В случае программ-вымогателей злоумышленник обычно блокирует пользовательские файлы на зараженном ПК и требует оплаты за ключ разблокировки.

Банковский троянец QBot
Поддельный PDF (Источник: Bleeping Computer)

Есть довольно много шагов, которые жертва должна выполнить, не становясь слишком подозрительными и не прекращая своих действий, чтобы этот троянец -вредоносный спам был успешным. Большинство опытных пользователей компьютеров почувствуют покалывание своих паучьих чувств при столкновении с этими электронными письмами в течение очень короткого периода времени.

Свойства файла
Свойства файла (Источник: Bleeping Computer)

Было бы интересно узнать об успешности стратегии злоумышленников по сокрытию полезной нагрузки вредоносного ПО в виде .DLL для загрузки с помощью Calc.exe. Остановит ли этот минимум базовый минимум встроенного в Windows антивируса Defender и других процессов безопасности? К сожалению, ни Bleeping Computer , ни исследователь безопасности ProxyLife не упоминают, какие антивирусные решения может отклонить эта атака вредоносного спама, если таковые имеются.
Пожалуйста, будьте осторожны, ребята, особенно с электронными письмами из неизвестных источников, содержащими вложения и/или ссылки. Кроме того, выделите некоторое время для резервного копирования важных личных файлов, чтобы у вымогателей не было никаких рычагов воздействия, если им удастся зашифровать ваши данные.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал