جدیدترین ابزار در زرادخانه هکرها: ماشین حساب مایکروسافت

هکرها یک روش غیر معمول و غیر متعارف را برای آلوده کردن رایانه های شخصی به بدافزار کشف کرده اند: انتشار کدهای مخرب با ماشین حساب ویندوز.

افرادی که پشت بدافزار معروف QBot هستند، موفق شده‌اند راهی برای استفاده از این برنامه برای بارگذاری کدهای مخرب بر روی سیستم‌های آلوده پیدا کنند.

همانطور که توسط Bleeping Computer گزارش شده است، بارگذاری جانبی کتابخانه پیوند پویا (DLL) زمانی است که یک DLL واقعی جعل می شود، سپس به یک پوشه منتقل می شود تا سیستم عامل دستگاه را فریب دهد تا نسخه جعلی را برخلاف فایل های DLL واقعی بارگذاری کند.

QBot، انواع بدافزار ویندوز، در ابتدا به عنوان یک تروجان بانکی شناخته می شد. با این حال، گروه‌های باج‌افزار به دلیل تکامل آن به یک پلتفرم توزیع بدافزار، اکنون به آن متکی هستند.

به گفته محقق امنیتی ProxyLife، QBot به طور خاص از برنامه ماشین حساب ویندوز 7 برای انجام حملات جانبی بارگذاری DLL استفاده کرد. این حملات حداقل از 11 ژوئیه رایانه های شخصی را آلوده کرده اند و همچنین یک روش موثر برای اجرای کمپین های مخرب هرزنامه (malspam) هستند.

ایمیل هایی که حاوی بدافزار به شکل پیوست فایل HTML هستند، شامل یک بایگانی ZIP است که همراه با یک فایل ISO که حاوی یک فایل LNK.، یک کپی از “calc.exe” (ماشین حساب ویندوز) و همچنین دو فایل DLL است. : WindowsCodecs.dll اضافه شده توسط یک بار مخرب (7533.dll).

باز کردن فایل ISO در نهایت میانبری را اجرا می کند که پس از کاوش بیشتر در گفتگوی خصوصیات فایل ها، به برنامه ماشین حساب ویندوز پیوند می یابد. پس از باز شدن این میانبر، آلودگی با بدافزار QBot از طریق خط فرمان به سیستم نفوذ می کند.

با توجه به این واقعیت که Windows Calculator ظاهراً یک برنامه قابل اعتماد است، فریب دادن سیستم برای توزیع بار از طریق برنامه به این معنی است که نرم افزار امنیتی ممکن است خود بدافزار را شناسایی نکند و آن را به روشی بسیار مؤثر و خلاقانه برای فرار از شناسایی تبدیل کند.

با این حال، هکرها دیگر نمی‌توانند از تکنیک بارگذاری جانبی DLL در ویندوز 10 یا ویندوز 11 استفاده کنند، بنابراین هر کسی که ویندوز 7 دارد باید مراقب ایمیل‌ها و فایل‌های ISO مشکوک باشد.

Windows Calculator برنامه ای نیست که اغلب توسط عوامل تهدید برای نفوذ به اهداف مورد استفاده قرار می گیرد، اما وقتی صحبت از وضعیت فعلی هک و پیشرفت آن می شود، هیچ چیز خارج از محدوده به نظر نمی رسد. اولین ظهور خود QBot بیش از یک دهه پیش اتفاق افتاد و قبل از آن برای اهداف باج افزار استفاده می شد.

در طول سال 2022، ما شاهد سرعت تهاجمی فعالیت در بدافزار و فضای هک هستیم، مانند بزرگترین حمله HTTPS DDoS در تاریخ. گروه‌های باج‌افزاری خود نیز در حال تکامل هستند، بنابراین جای تعجب نیست که آنها دائماً در حال یافتن حفره‌هایی برای بهره‌برداری هستند.

با افزایش هشدار دهنده جرایم سایبری به طور کلی، غول فناوری مایکروسافت حتی یک ابتکار امنیت سایبری را با “چشم انداز امنیتی” راه اندازی کرده است. [becoming] برای مشتریان ما به طور فزاینده ای چالش برانگیز و پیچیده است.”

توصیه های سردبیران