Un investigador de seguridad detalló una nueva campaña de QBot en la naturaleza, explotando la aplicación legítima Calculadora de Windows 7 para cargar el malware en la máquina del objetivo.
Comenzando con un correo electrónico de phishing, la campaña pide a las personas desprevenidas que descarguen los archivos HTML y los correspondientes, lo que eventualmente arroja el malware QBot en el sistema. Y el uso de la calculadora de Windows es para evitar la detección por parte del software antivirus.
Nueva campaña de malware QBot
Comenzando como un simple malware de puerta trasera, el malware QBot (también conocido como Qakbot) se ha convertido gradualmente en un sofisticado cuentagotas de carga útil en la actualidad. [1, 2, 3, 4]al servicio de las principales bandas de botnets y ransomware de todo el mundo.
Dado que es el primer punto de impacto en las máquinas de las víctimas, los desarrolladores de QBot idearon una nueva técnica para explotarlas. Y es a través de la aplicación Calculadora de Windows 7, aprovechando su soporte de carga lateral sin control.
Como se detalla por ProxyVida, un investigador de seguridad, la campaña comienza con un correo electrónico de phishing que contiene un archivo HTML y le pide al usuario que lo abra para acceder a información importante. Y cuando un usuario desprevenido lo hace, el clic descarga un archivo zip protegido por contraseña, en el que se almacena la supuesta información.
#Qakbot – obama200 – html > .zip > .iso > .lnk > calc.exe > .dll > .dll
T1574 – Secuestro de orden de búsqueda de DLL
cmd.exe /q /c calc.exe
regsvr32 /s C:UsersUserAppDataLocalTempWindowsCodecs.dll
regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh
COIhttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR
– vida proxy (@pr0xylife) 11 de julio de 2022
El archivo zip está protegido con contraseña ya que el software antivirus no puede acceder a ellos para escanear. Pero es el verdadero culpable, dice los investigadores de Cyble, ya que contiene malware QBot y otros archivos maliciosos. Contiene un archivo ISO, que a su vez contiene un archivo .LNK, una copia de ‘calc.exe’ y dos archivos DLL: WindowsCodecs.dll y una carga llamada 7533.dll.
Al hacer clic en los archivos de acceso directo, se activa la instalación de Calc.exe a través del símbolo del sistema. En este proceso, se supone que la aplicación de calculadora carga un archivo DLL legítimo de WindowsCodecs desde una carpeta profunda del sistema, que es lo que los piratas informáticos de QBot reemplazan por uno malicioso.
Dado que la aplicación Calculadora de Windows 7 no verifica el archivo antes de cargarlo, los piratas informáticos están aprovechando esta funcionalidad de carga lateral ciega para cargar su malware QBot en el sistema. Aunque, este tipo de suplantación de archivos DLL en las aplicaciones de calculadora de Windows 10 y 11 no es posible, lo que hace que el hacker se dirija solo a los usuarios de Windows 7.
