Los hackers han encontrado un método inusual y poco convencional para infectar PC con malware: distribuir código peligroso con Windows Calculator.
Las personas detrás del conocido malware QBot han logrado encontrar una manera de usar el programa para cargar código malicioso en sistemas infectados.
Según lo informado por Bleeping Computer, la carga lateral de las bibliotecas de enlaces dinámicos (DLL) es cuando se falsifica una DLL real, después de lo cual se mueve a una carpeta para engañar al sistema operativo de la máquina para que cargue la versión adulterada en lugar de los archivos DLL reales.
QBot, una cepa de malware de Windows, se conocía inicialmente como un troyano bancario. Sin embargo, las bandas de ransomware ahora confían en él debido a su evolución en una plataforma de distribución de malware.
QBot ha estado utilizando el programa Windows 7 Calculator en particular para ejecutar ataques de carga lateral de DLL, según el investigador de seguridad ProxyLife. Estos ataques han estado infectando PC desde al menos el 11 de julio, y también es un método efectivo para llevar a cabo campañas de spam malicioso.
Los correos electrónicos que contienen el malware en forma de archivo adjunto HTML incluyen un archivo ZIP que viene con un archivo ISO, que contiene un archivo . LNK, una copia de ‘calc.exe’ (Windows Calculator), así como dos archivos DLL: WindowsCodecs.dll, unidos por una carga útil maliciosa (7533.dll).
Al abrir el archivo ISO, finalmente se ejecuta un acceso directo, que tras una mayor investigación del cuadro de diálogo de propiedades de los archivos, se vincula a la aplicación Calculadora de Windows. Una vez que se ha abierto ese acceso directo, la infección se infiltra en el sistema con malware QBot a través del símbolo del sistema.
Debido al hecho de que Windows Calculator es obviamente un programa confiable, engañar al sistema para que distribuya una carga útil a través de la aplicación significa que el software de seguridad podría no detectar el malware en sí, lo que lo convierte en una forma extremadamente efectiva y creativa de evitar la detección.
Dicho esto, los piratas informáticos ya no pueden usar la técnica de carga de prueba dll en Windows 10 o Windows 11, por lo que cualquier persona con Windows 7 debe tener cuidado con los correos electrónicos sospechosos y los archivos ISO.
Windows Calculator no es un programa comúnmente utilizado por los actores de amenazas para infiltrarse en los objetivos, pero cuando se trata del estado actual de la piratería y su avance, nada parece estar más allá del ámbito de lo posible. La primera aparición de QBot en sí ocurrió hace más de una década, y anteriormente se ha utilizado con fines de ransomware.
En otros lugares, hemos estado viendo una tasa agresiva de actividad en el espacio de malware y piratería a lo largo de 2022, como el mayor ataque HTTPS DDoS de la historia. Las propias bandas de ransomware también están evolucionando, por lo que no es una sorpresa que estén continuamente encontrando lagunas de las que beneficiarse.