Angreifer schleusen Schadsoftware über Windows Calculator auf PCs

Hacker*innen haben einen ungewöhnlichen Weg gefunden, um Windows-Rechner mit der Schadsoftware „QBot“ -  auch als "Quakbot" bekannt - zu infizieren. Für die Ausführung haben sie laut der Sicherheitsfirma ProxyLife das Windows-7-Rechnerprogramm verwendet.

Laut Bleeping Computer werden beim Sideloading von Dynamic Link Libraries (DLL) eine tatsächliche DLL-Datei gefälscht und danach in einen Ordner verschoben, um das Betriebssystem des Computers dazu zu bringen, die manipulierte Version statt der echten DLL-Datei zu laden.

Angriffe infizieren PCs seit mindestens 11. Juli

Diese Attacken infizieren PCs mindestens seit dem 11. Juli. Sie eignen sich auch effektiv für bösartige Spam-Kampagnen.

E-Mails, welche die Malware in Form eines HTML-Dateianhangs enthalten, enthalten ein ZIP-Archiv, das mit einer ISO-Datei geliefert wird. Diese wiederum enthält eine .LNK-Datei, eine Kopie von calc.exe und 2 DLL-Dateien: WindowsCodecs.dll und die Payload 7533.dll.

Durch das Öffnen der ISO-Datei wird das System mit der QBot-Malware infiziert.

Technik für Windows 10 und 11 nicht anwendbar

Generell zählt der Windows Calculator zu einem vertrauenswürdigen Programm, sodass es für Malware-Attacken effektiv ausgenutzt werden kann, weil Sicherheitssoftware diese nicht erkennt.

Die Sideloading-Technik können Hacker*innen über Windows 10 und 11 allerdings nicht anwenden – Nutzer*innen von Windows 7 sollten mit verdächtigen E-Mails und ISO-Dateien vorsichtig umgehen.