Se está abusando de la calculadora, una de las herramientas más básicas (y más útiles) de Windows, para cargar malware en los puntos finales de destino (se abre en una pestaña nueva)los investigadores han encontrado.
Los expertos de ProxyLife descubrieron que la herramienta de calculadora de Windows se puede usar para infectar el dispositivo con Qbot, un gotero de malware conocido que se usa para entregar balizas Cobalt Strike en dispositivos específicos, que a menudo es el primer paso en un ataque de ransomware.
Como de costumbre, el ataque comienza con un intento de phishing. El actor de la amenaza le enviará un correo a la víctima, adjuntando un archivo HTML que, a su vez, descarga un archivo .ZIP protegido por contraseña. Estar protegido con contraseña ayuda a que la carga útil evite la detección del antivirus (se abre en una pestaña nueva) programas Al extraer el archivo .ZIP, se muestra un archivo .ISO, un formato de archivo digital que replica un CD, DVD o BD físico. Montar el .ISO genera cuatro archivos: dos archivos .DLL (uno de los cuales es el malware Qbot), un acceso directo (que se hace pasar por el archivo que se supone que la víctima debe abrir) y el programa de calculadora (calc.exe).
Ejecutar archivos DLL maliciosos
El acceso directo no hace más que abrir la calculadora, pero aquí está la parte divertida: cuando la calculadora se inicia, buscará los archivos .DLL necesarios para ejecutarse correctamente. No los buscará en carpetas específicas, sino, ante todo, en la misma carpeta que calc.exe. Lo que nos lleva de vuelta a los dos archivos .DLL que la víctima descargó junto con la Calculadora.
Ejecutar la calculadora activará el primer archivo .DLL, y ese activará el segundo, o en este caso, el malware Qbot.
La práctica también se conoce como carga lateral de DLL.
También vale la pena mencionar que este ataque no funciona en Windows 10 o Windows 11 (se abre en una pestaña nueva), pero funciona en Windows 7, razón por la cual los actores de amenazas incluyen la versión de Windows 7. La campaña ha estado activa desde el 11 de julio y, aparentemente, todavía está activa en el momento de la publicación.
Vía: BleepingComputer (se abre en una pestaña nueva)