ハッカーは、Windows 電卓を使用して危険なコードを配布するという、PC をマルウェアに感染させるための、通常とは異なる方法を発見しました。
有名な QBot マルウェアの背後にいる人物は、このプログラムを使用して、感染したシステムに悪意のあるコードをサイドロードする方法を発見しました。
/hacker-with-laptop-922359280-5c32d4a546e0fb00011bb991.jpg)
Bleeping Computer が報告した ように、ダイナミック リンク ライブラリ (DLL) のサイドローディングとは、実際の DLL がスプーフィングされ、その後、マシンのオペレーティング システムが実際の DLL ではなく改ざんされたバージョンをロードするように騙すためにフォルダーに移動されることです。ファイル。
Windows マルウェアの一種である QBot は、当初はバンキング トロイの木馬として知られていました。しかし、マルウェア配布プラットフォームへの進化により、 ランサムウェアギャングは 現在これに依存しています。
セキュリティ研究者の ProxyLife によると、QBot は特に Windows 7 Calculator プログラムを利用して DLL サイドローディング攻撃を実行しています。これらの攻撃は少なくとも 7 月 11 日以降 PC に感染しており、悪意のあるスパム (マルスパム) キャンペーンを実行するための効果的な方法でもあります。
HTML ファイルの添付ファイルの形式でマルウェアが含まれる電子メールには、.LNK ファイル、「calc.exe」 (Windows 電卓) のコピー、および 2 つの DLL ファイルを含む ISO ファイルが付属する ZIP アーカイブが含まれています。 : WindowsCodecs.dll、悪意のあるペイロード (7533.dll) が結合。
ISO ファイルを開くと、最終的にショートカットが実行され、ファイルのプロパティ ダイアログを詳しく調べると、Windows の電卓アプリにリンクされていることがわかります。このショートカットが開かれると、コマンド プロンプトを介して QBot マルウェアがシステムに感染します。
Windows 電卓は明らかに信頼できるプログラムであるため、システムをだましてアプリを通じてペイロードを配布すると、セキュリティ ソフトウェアがマルウェア自体を検出できない可能性があり、検出を回避するための非常に効果的かつ創造的な方法となります。
とはいえ、ハッカーは Windows 10 または Windows 11 では DLL サイドローディング手法を使用できなくなりました。そのため、Windows 7 を使用している人は、不審なメールや ISO ファイルに注意する必要があります。
Windows Calculator は、攻撃者がターゲットに侵入するために一般的に使用されるプログラムではありませんが、ハッキングの現状とその進歩に関して言えば、可能性の領域を超えるものは何もないようです。 QBot 自体が初めて登場したのは 10 年以上前で、以前にはランサムウェアの目的で使用されていました。
その他の地域では、 史上最大の HTTPS DDoS 攻撃 など、2022 年を通じてマルウェアとハッキングの分野で活発な活動が見られました。ランサムウェア ギャング自体 も進化している ため、彼らが利益を得られる抜け穴を見つけ続けていることは驚くべきことではありません。
サイバー犯罪全般が憂慮すべき増加に伴い、テクノロジー大手マイクロソフトも サイバーセキュリティへの取り組みを開始して おり、「当社の顧客にとってセキュリティ環境はますます困難かつ複雑になっている」としている。