Você nunca vai adivinhar para que hackers estão usando a Calculadora da Microsoft

gurinho

Os hackers encontraram um método incomum e não convencional para infectar PCs com malware: distribuir códigos perigosos com a Calculadora do Windows.

Os indivíduos por trás do conhecido malware QBot conseguiram encontrar uma maneira de usar o programa para carregar código malicioso em sistemas infectados.

Uma representação de um hacker invadindo um sistema através do uso de código.
Imagens Getty

Conforme relatado por Bleeping Computer , o carregamento lateral de Bibliotecas de Link Dinâmico (DLLs) ocorre quando uma DLL real é falsificada, após o que é movida para uma pasta para enganar o sistema operacional da máquina para carregar a versão adulterada em oposição à DLL real arquivos.

O QBot, um tipo de malware do Windows, era inicialmente conhecido como um trojan bancário. No entanto, as gangues de ransomware agora dependem dele devido à sua evolução para uma plataforma de distribuição de malware.

A QBot tem utilizado o programa Windows 7 Calculator em particular para executar ataques de carregamento lateral de DLL, de acordo com o pesquisador de segurança ProxyLife. Esses ataques infectam PCs desde pelo menos 11 de julho e também é um método eficaz para realizar campanhas de spam malicioso (malspam).

Os e-mails que contêm o malware na forma de anexo de arquivo HTML incluem um arquivo ZIP que vem com um arquivo ISO, que contém um arquivo .LNK, uma cópia de 'calc.exe' (Windows Calculator), bem como dois arquivos DLL : WindowsCodecs.dll, acompanhado por uma carga maliciosa (7533.dll).

A abertura do arquivo ISO eventualmente executa um atalho, que após uma investigação mais aprofundada da caixa de diálogo de propriedades dos arquivos, é vinculado ao aplicativo Calculadora do Windows. Depois que esse atalho é aberto, a infecção se infiltra no sistema com malware QBot por meio do prompt de comando.

A nova versão do aplicativo Calculadora no Windows 11.

Devido ao fato de o Windows Calculator ser obviamente um programa confiável, enganar o sistema para distribuir uma carga através do aplicativo significa que o software de segurança pode falhar em detectar o próprio malware, tornando-o uma maneira extremamente eficaz – e criativa – de evitar a detecção.

Dito isso, os hackers não podem mais usar a técnica de sideload de DLL no Windows 10 ou Windows 11, portanto, qualquer pessoa com o Windows 7 deve ter cuidado com e-mails suspeitos e arquivos ISO.

A Calculadora do Windows não é um programa comumente usado por agentes de ameaças para se infiltrar em alvos, mas quando se trata do estado atual de hackers e seu avanço, nada parece estar além do reino das possibilidades. A primeira aparição do próprio QBot ocorreu há mais de uma década e já foi usado para fins de ransomware.

Em outros lugares, vimos uma taxa agressiva de atividade no espaço de malware e hackers ao longo de 2022, como o maior ataque HTTPS DDoS da história . As próprias gangues de ransomware também estão evoluindo , portanto, não é surpresa que estejam continuamente encontrando brechas para se beneficiar.

Com o aumento alarmante do cibercrime em geral, a gigante da tecnologia Microsoft lançou até uma iniciativa de segurança cibernética , com o “cenário de segurança [se tornando] cada vez mais desafiador e complexo para nossos clientes”.