Technologische Neuigkeiten, Bewertungen und Tipps!

Neue QBot-Kampagne nutzt die Taschenrechner-App von Windows 7 aus

Ein Sicherheitsforscher beschrieb detailliert eine neue QBot-Kampagne im freien Wildbahn, bei der die legitime Taschenrechner-App von Windows 7 ausgenutzt wird, um die Malware per Side-Load auf den Computer des Ziels zu laden.

Die Kampagne beginnt mit einer Phishing-E-Mail und fordert ahnungslose Personen auf, die HTML-Dateien und die entsprechenden Dateien darin herunterzuladen, wodurch schließlich die QBot-Malware in das System gelangt. Und die Verwendung des Windows-Rechners dient dazu, eine Erkennung durch Antivirensoftware zu vermeiden.

Neue Kampagne für QBot-Malware

Die QBot-Malware (auch bekannt als Qakbot) begann als einfache Backdoor-Malware und hat sich heute nach und nach zu einem hochentwickelten Payload-Dropper entwickelt. [1, 2, 3, 4]die den großen Botnet- und Ransomware-Banden auf der ganzen Welt dient.

Da es sich hierbei um den ersten Angriffspunkt auf den Rechnern der Opfer handelt, haben sich die QBot-Entwickler eine neue Technik ausgedacht, um sie auszunutzen. Und zwar über die Taschenrechner-App von Windows 7, die deren ungeprüfte Side-Loading-Unterstützung ausnutzt.

Wie ausführlich beschrieben von ProxyLifeeinem Sicherheitsforscher, beginnt die Kampagne mit einer Phishing-E-Mail, die eine HTML-Datei enthält – mit der Aufforderung, diese zu öffnen, um auf wichtige Informationen zuzugreifen. Und wenn ein ahnungsloser Benutzer dies tut, lädt der Klick eine kennwortgeschützte Zip-Datei herunter – in der die angeblichen Informationen gespeichert sind.

Die Zip-Datei ist kennwortgeschützt, da Antivirensoftware sie nicht erreichen und scannen kann. Doch sie ist der eigentliche Übeltäter, sagen die Forscher von Cyble, da sie die QBot-Malware und andere bösartige Dateien enthält. Sie enthält eine ISO-Datei – die wiederum eine .LNK-Datei, eine Kopie von „calc.exe“ und zwei DLL-Dateien enthält – WindowsCodecs.dll und eine Payload namens 7533.dll.

Durch Klicken auf die Verknüpfungsdateien wird die Installation von Calc.exe über die Eingabeaufforderung ausgelöst. Dabei soll die Taschenrechner-App eine legitime WindowsCodecs-DLL-Datei aus einem tiefen Systemordner laden, die die QBot-Hacker durch eine bösartige ersetzen.

Da die Taschenrechner-App von Windows 7 die Datei vor dem Laden nicht überprüft, nutzen die Hacker diese Funktion des blinden Sideloadings, um ihre QBot-Malware in das System zu laden. Allerdings ist diese Art der Fälschung von DLL-Dateien in den Taschenrechner-Apps von Windows 10 und 11 nicht möglich, sodass der Hacker nur Windows 7-Benutzer ins Visier nimmt.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.