En temel (ve en kullanışlı) Windows araçlarından biri olan Hesap Makinesi, hedef uç noktalara kötü amaçlı yazılım yüklemek için kötüye kullanılıyor (yeni sekmede açılır)araştırmacılar buldu.
ProxyLife uzmanları, Windows hesap makinesi aracının, genellikle bir fidye yazılımı saldırısının ilk adımı olan, hedeflenen cihazlara Kobalt Strike işaretleri göndermek için kullanılan bilinen bir kötü amaçlı yazılım damlası olan Qbot ile cihaza bulaşmak için kullanılabileceğini keşfetti.
Her zamanki gibi, saldırı bir kimlik avı girişimiyle başlar. Tehdit aktörü, şifre korumalı bir .ZIP arşivi indiren bir HTML dosyası ekleyerek kurbanı postalayacaktır. Parola korumalı olmak, yükün antivirüs tarafından algılanmasını önlemeye yardımcı olur (yeni sekmede açılır) programlar. .ZIP arşivinin ayıklanması, bir .ISO dosyasını, fiziksel bir CD, DVD veya BD’yi kopyalayan bir dijital dosya biçimini gösterir. .ISO’yu takmak dört dosya getirir: iki .DLL dosyası (biri Qbot kötü amaçlı yazılımıdır), bir kısayol (kurbanın açması gereken dosya gibi görünür) ve hesap makinesi programı (calc.exe).
Kötü amaçlı DLL’leri çalıştırma
Kısayol, hesap makinesini getirmekten başka bir şey yapmaz, ancak eğlenceli kısım şudur: hesap makinesi başladığında, düzgün çalışması için gereken .DLL dosyalarını arayacaktır. Bunları belirli klasörlerde aramaz, her şeyden önce – calc.exe ile aynı klasörde. Bu da bizi kurbanın Hesap Makinesi ile birlikte indirdiği iki .DLL dosyasına getiriyor.
Hesap makinesini çalıştırmak ilk .DLL dosyasını tetikler ve bu da ikinciyi veya bu durumda Qbot kötü amaçlı yazılımını tetikler.
Uygulama, DLL yan yükleme olarak da bilinir.
Bu saldırının Windows 10 veya Windows 11’de çalışmadığını da belirtmekte fayda var. (yeni sekmede açılır), ancak Windows 7’de çalışır, bu nedenle tehdit aktörleri Windows 7 sürümünü paketler. Kampanya 11 Temmuz’dan beri aktif ve görünüşe göre, basın zamanında hala aktif.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
