27/07/22
Qbot, также известный как Qakbot, использует калькулятор Windows 7 для подмены DLL. Подмена DLL – атака, основанная на замене легитимного DLL-файла на вредоносную библиотеку.
Доставка стороннего компонента может производиться как при помощи специального загрузчика, внедряемого в систему, так и через пользовательские файлы, обрабатываемые использующей библиотеку программой. Результатом подмены DLL является выполнение стороннего кода в среде скомпрометированного приложения.
В последней вредоносной кампании QBot распространяется с помощью фишинговых электронных писем, содержащих HTML-файл, который загружает защищенный паролем ZIP-архив, содержащий ISO-файл.
ISO-файл содержит четыре файла:
- Полезную нагрузку 7533.dll;
- Полезную нагрузку WindowsCodecs.dll;
- Приложение под названием calc.exe.
- .LNK-файл
Если пользователь устанавливает этот ISO-файл, он показывает жертве .LNK-файл, который выдает себя за PDF-файл с важными данными или файл, открывающийся в браузере Microsoft Edge. Если жертва откроет файл, то она будет перенаправлена на приложение калькулятора Windows. Кликнув на приложение, жертва запускает цепочку заражения на своем устройстве.
Затем калькулятор Windows 7 ищет и пытается загрузить подлинный DLL-файл WindowsCodecs. Согласно сообщению экспертов, калькулятор не ищет DLL в жестко закодированных местах, а просто загружает любой DLL с тем же именем, если она помещена в папку с calc.exe.
Это позволяет избежать обнаружения, так как QBot внедряется в легитимные приложения. Кроме того, подмена DLL доступна только в Windows 7, так как в Windows 10 и более поздних версиях уязвимость была исправлена.
