Angreifer schleusen Schadsoftware über Windows Calculator auf PCs
Dieser Artikel ist älter als ein Jahr!
Hacker*innen haben einen ungewöhnlichen Weg gefunden, um Windows-Rechner mit der Schadsoftware „QBot“ - auch als "Quakbot" bekannt - zu infizieren. Für die Ausführung haben sie laut der Sicherheitsfirma ProxyLife das Windows-7-Rechnerprogramm verwendet.
Laut Bleeping Computer werden beim Sideloading von Dynamic Link Libraries (DLL) eine tatsächliche DLL-Datei gefälscht und danach in einen Ordner verschoben, um das Betriebssystem des Computers dazu zu bringen, die manipulierte Version statt der echten DLL-Datei zu laden.
Angriffe infizieren PCs seit mindestens 11. Juli
Diese Attacken infizieren PCs mindestens seit dem 11. Juli. Sie eignen sich auch effektiv für bösartige Spam-Kampagnen.
E-Mails, welche die Malware in Form eines HTML-Dateianhangs enthalten, enthalten ein ZIP-Archiv, das mit einer ISO-Datei geliefert wird. Diese wiederum enthält eine .LNK-Datei, eine Kopie von calc.exe und 2 DLL-Dateien: WindowsCodecs.dll und die Payload 7533.dll.
Durch das Öffnen der ISO-Datei wird das System mit der QBot-Malware infiziert.
Technik für Windows 10 und 11 nicht anwendbar
Generell zählt der Windows Calculator zu einem vertrauenswürdigen Programm, sodass es für Malware-Attacken effektiv ausgenutzt werden kann, weil Sicherheitssoftware diese nicht erkennt.
Die Sideloading-Technik können Hacker*innen über Windows 10 und 11 allerdings nicht anwenden – Nutzer*innen von Windows 7 sollten mit verdächtigen E-Mails und ISO-Dateien vorsichtig umgehen.
Kommentare