Sie werden nie erraten, wofür Hacker den Microsoft-Rechner verwenden

Eskere Guru

Hacker haben eine ungewöhnliche und unkonventionelle Methode gefunden, um PCs mit Malware zu infizieren: das Verteilen von gefährlichem Code mit dem Windows-Rechner.

Die Personen hinter der bekannten QBot-Malware haben es geschafft, einen Weg zu finden, das Programm zu verwenden, um bösartigen Code von der Seite auf infizierte Systeme zu laden.

Eine Darstellung eines Hackers, der mithilfe von Code in ein System eindringt.
Getty Images

Wie von Bleeping Computer berichtet, wird beim Seitenladen von Dynamic Link Libraries (DLLs) eine tatsächliche DLL gefälscht und anschließend in einen Ordner verschoben, um das Betriebssystem des Computers dazu zu bringen, die manipulierte Version im Gegensatz zur echten DLL zu laden Dateien.

QBot, ein Stamm von Windows-Malware, war ursprünglich als Banking-Trojaner bekannt. Ransomware-Banden verlassen sich jedoch jetzt darauf, da es sich zu einer Malware-Verteilungsplattform entwickelt hat.

Laut dem Sicherheitsforscher ProxyLife hat QBot das Windows 7-Rechnerprogramm insbesondere zur Ausführung von DLL-Sideloading-Angriffen verwendet. Diese Angriffe infizieren PCs mindestens seit dem 11. Juli und sind auch eine effektive Methode, um böswillige Spam-Kampagnen (Malspam) durchzuführen.

E-Mails, die die Malware in Form eines HTML-Dateianhangs enthalten, enthalten ein ZIP-Archiv, das mit einer ISO-Datei geliefert wird, die eine .LNK-Datei, eine Kopie von „calc.exe“ (Windows-Rechner) sowie zwei DLL-Dateien enthält : WindowsCodecs.dll, zusammen mit einer schädlichen Payload (7533.dll).

Das Öffnen der ISO-Datei führt schließlich eine Verknüpfung aus, die bei weiterer Untersuchung des Eigenschaftendialogs für die Dateien mit der Rechner-App von Windows verknüpft wird. Sobald diese Verknüpfung geöffnet wurde, infiltriert die Infektion das System mit QBot-Malware über die Eingabeaufforderung.

Die neue Version der Rechner-App in Windows 11.

Aufgrund der Tatsache, dass Windows Calculator offensichtlich ein vertrauenswürdiges Programm ist, bedeutet das Austricksen des Systems, eine Nutzlast über die App zu verteilen, dass Sicherheitssoftware die Malware selbst möglicherweise nicht erkennt, was es zu einer äußerst effektiven – und kreativen – Möglichkeit macht, die Erkennung zu vermeiden.

Allerdings können Hacker die DLL-Sideloading-Technik unter Windows 10 oder Windows 11 nicht mehr verwenden, daher sollte jeder mit Windows 7 vorsichtig mit verdächtigen E-Mails und ISO-Dateien sein.

Windows Calculator ist kein Programm, das üblicherweise von Angreifern verwendet wird, um Ziele zu infiltrieren, aber wenn es um den aktuellen Stand des Hackens und seine Fortschritte geht, scheint nichts außerhalb des Bereichs des Möglichen zu liegen. QBot selbst tauchte zum ersten Mal vor mehr als einem Jahrzehnt auf und wurde zuvor für Ransomware-Zwecke verwendet.

An anderer Stelle haben wir im Jahr 2022 eine aggressive Aktivitätsrate im Malware- und Hacking-Bereich beobachtet, beispielsweise den größten HTTPS-DDoS-Angriff der Geschichte . Ransomware-Gangs selbst entwickeln sich ebenfalls weiter , daher ist es nicht verwunderlich, dass sie ständig Schlupflöcher finden, von denen sie profitieren können.

Angesichts des alarmierenden Anstiegs der Cyberkriminalität im Allgemeinen hat der Technologieriese Microsoft sogar eine Cybersicherheitsinitiative gestartet , wobei die „Sicherheitslandschaft für unsere Kunden immer herausfordernder und komplexer wird“.