最受欢迎的Windows工具之一实际上可能存在巨大的安全风险

文章插图
【最受欢迎的Windows工具之一实际上可能存在巨大的安全风险】计算器是最基本(也是最有用)的Windows工具之一，被滥用以将恶意软件加载到目标端点(在新标签中打开)，研究人员发现。ProxyLife专家发现Windows计算器工具可用于用Qbot感染设备，Qbot是一种已知的恶意软件投放器，用于在目标设备上传递CobaltStrike信标，这通常是勒索软件攻击的第一步。
像往常一样，攻击从网络钓鱼尝试开始。威胁参与者将邮寄给受害者，并附上一个HTML文件，然后下载受密码保护的.ZIP存档。受密码保护有助于有效负载避免被防病毒检测到(在新标签中打开)程式。提取.ZIP存档会显示.ISO文件，这是一种复制物理CD、DVD或BD的数字文件格式。挂载.ISO会产生四个文件：两个.DLL文件(其中一个是Qbot恶意软件)、一个快捷方式(冒充受害者应该打开的文件)和计算器程序(calc.exe) 。
该快捷方式只是调出计算器，但有趣的是：当计算器启动时，它会查找正确运行所需的.DLL文件。它不会在特定文件夹中查找它们，而是首先在与calc.exe相同的文件夹中查找它们。这让我们回到了受害者与计算器一起下载的两个.DLL文件。
运行计算器将触发第一个.DLL文件，而该文件将触发第二个，或者在这种情况下-Qbot恶意软件。
这种做法也称为DLL侧加载。
还值得一提的是，这种攻击不适用于Windows10或Windows11(在新标签中打开) ，但适用于Windows7，这就是攻击者捆绑Windows7版本的原因。该活动自7月11日以来一直处于活跃状态，显然，截至发稿时仍处于活跃状态。