Još jedan dokaz da je pametno koristiti noviji operativni sistem, onaj koji i dalje prima bezbednosna ažuriranja, dolazi u obliku vesti o nedavno otkrivenom zloćudnom programu koji se širi u starom Windows-u 7. Njegov je naziv Qakbot ili Qbot, razvijen je izvorno kao bankovni trojanac i evoluirao u softver koji služi za isporuku opasnijih zloćudnih programa, poput ucenjivačkih kriptoprograma (ransomwarea).
Nezavisni stručnjak za računarsku bezbednost, koji se predstavlja kao ProxyLife, otkrio je da Qbot u poslednje vreme određeni napadači koriste upravo za napade na starije sisteme sa Windows-om 7, i to kompromitirajući vrlo jednostavnu aplikaciju u njima, kalkulator.
Metoda napada slična je ostalima kojima se ransomware obično širi. Žrtva dobija zaraženi attachment putem e-maila, koji pokušava da izbegne detekciju komprimiranjem zloćudne .iso datoteke u .zip arhivu. U slučaju da primalac raspakuje taj .zip na svoj računar, kao "bonus" će dobiti .lnk dokument, kamufliran kao .pdf dokument. Ako korisnik pokrene i njega – tek tada počinje zaraza.
Navedeni .lnk otvara spomenuti Windows Calculator, a on potom legitimno pokušava da dohvati njemu potrebne .dll datoteke. Međutim, u ovom koraku dolazi do kompromitovanja, jer napadači preusmeravaju kalkulator prema malicioznim .dll-ovima u procesu poznatom kao sideloading. Pokretanje malwarea putem kalkulatora trebalo bi još jednom zaobići detekciju antivirusnih rešenja, a uspe li u tome – putem ovog mehanizma na računaru može pokrenuti ransomware i izazvati velike probleme korisniku.
Osim, dakle, redovitog ažuriranja operativnog sistema, bitno je u svako doba biti i na oprezu i ne klikati na sve što pristigne elektronskom poštom.
#Qakbot - obama200 - html > .zip > .iso > .lnk > calc.exe > .dll > .dll
— proxylife (@pr0xylife) July 11, 2022
T1574 - DLL Search Order Hijacking
cmd.exe /q /c calc.exe
regsvr32 /s C:\Users\User\AppData\Local\Temp\WindowsCodecs.dll
regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh
IOC'shttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR
Postavi komentar
Vaš komentar: