بدافزار QBot توسط ماشین حساب ویندوز، دستگاه‌ها را به خطر می اندازد

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir qbot malware windows calculator compromise devices 1
به گفته محقق "ProxyLife" در توییتر، بدافزار QBot، که با نام مستعار QakBot شناخته می‌شود، حداقل از ۱۱ جولای ۲۰۲۲ از برنامه ماشین حساب ویندوز 7 سواستفاده کرده است.

بدافزار QBot (معروف به QakBot) دستگاه‌هایی را که از سیستم‌عامل Windows استفاده می‌کنند به شیوه‌ای غیر متعارف هدف قرار می‌دهد. محقق امنیتی ProxyLife  گزارش داد که هکر‌ها رایانه‌های شخصی ویندوز را با بدافزار QBot آلوده می‌کنند و کد مخرب از طریق Windows Calculator توزیع می‌نمایند.

این محقق خاطرنشان کرد که آلوده کردن رایانه‌های شخصی از این طریق همچنین می‌تواند راه‌اندازی کمپین‌های malspam (هرزنامه‌های مخرب) را برای کلاهبرداران سایبری آسان‌تر کند.

برنامه ماشین حساب ویندوز توزیع‌کننده بدافزار
بدافزار QBot حداقل از ۱۱ ژوئیه ۲۰۲۲ از برنامه ماشین حساب Windows 7 سواستفاده می‌کند. این برنامه برای هک‌های بارگذاری جانبی DLL مورد سواستفاده قرار می‌گیرد. این یک شکل معمولی از حمله است که در آن یک هکر با ایجاد یک نسخه جعلی از فایل DLL قانونی، از Dynamic Link Libraries سواستفاده می‌کند.

این فایل در یک پوشه ذخیره شده و به جای فایل اصلی توسط سیستم بارگذاری می‌شود. از آنجایی که Calculator یک برنامه قابل اعتماد در سیستم ویندوز است، نرم‌افزار امنیتی نمی‌تواند بدافزار را شناسایی کند و بدین طریق بدافزار مخرب می‌تواند از شناسایی فرار کند.

بدافزار QBot چیست؟
بدافزار QBot، یک نوع بدافزار ویندوز است که در ابتدا به عنوان یک تروجان بانکی ظاهر شد و به دلیل تکامل دائمی آن به عنوان یک پلتفرم توزیع بدافزار قدرتمند، نتوانست به انتخاب ارجح گروه‌های باج‌افزاری تبدیل شود.

چگونه دستگاه‌های ویندوزی را آلوده می‌کند؟
به گفته Bleeping Computer، این بدافزار از طریق‌ایمیل‌هایی که در یک فایل پیوست فایل HTML پنهان شده است، مستقر می‌شود. این پیوست حاوی یک آرشیو ZIP محافظت شده با رمز عبور با یک فایل ISO حاوی یک فایل LNK. است.

به گفته محقق، این فایل یک نسخه جعلی از فایل برنامه Windows Calculator (calc.exe) است. دو فایل DLL نیز در بایگانی موجود است؛ WindowsCodecs.dll و 7533.dll حاوی payload مخرب هستند.

هنگامی که گیرنده‌ایمیل فایل ISO را باز می‌کند، میانبر LNK. مرتبط با برنامه ماشین حساب را اجرا می‌کند. هنگامی که قربانی میانبر را باز می‌کند، برنامه تقلبی ماشین حساب باز می‌شود و سیستم از طریق Command Prompt به بدافزار QBot آلوده می‌شود.

takian.ir qbot malware windows calculator compromise devices 2

چه کسانی در معرض خطر هستند؟
شایان ذکر است که هکر‌ها نمی‌توانند از طریق تکنیک بارگذاری جانبی DLL از ویندوز 10 یا 11 سواستفاده کنند و بنابراین، فقط می‌توانند سیستم‌های دارای ویندوز 7 را هدف قرار دهند. همه کاربران ویندوز ۷ باید مراقب چنین‌ ایمیل‌های مشکوکی باشند و از باز کردن فایل‌های ISO زیپ شده خودداری کنند.

برچسب ها: Command Prompt, Windows 7, Dynamic Link Libraries, Windows Calculator, ProxyLife, LNK, Qbot, ماشین حساب ویندوز, Qakbot, ISO, malspam, هرزنامه, Trojan, DLL, Microsoft, ویندوز 7, windows, ویندوز, malware, تروجان, Cyber Security, حملات سایبری, فضای سایبری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ