文章插图
计算器是最基本(也是最有用)的Windows工具之一 , 被滥用以将恶意软件加载到目标端点(在新标签中打开),研究人员发现 。ProxyLife专家发现Windows计算器工具可用于用Qbot感染设备,Qbot是一种已知的恶意软件投放器,用于在目标设备上传递CobaltStrike信标,这通常是勒索软件攻击的第一步 。
像往常一样,攻击从网络钓鱼尝试开始 。威胁参与者将邮寄给受害者,并附上一个HTML文件,然后下载受密码保护的.ZIP存档 。受密码保护有助于有效负载避免被防病毒检测到(在新标签中打开)程式 。提取.ZIP存档会显示.ISO文件,这是一种复制物理CD、DVD或BD的数字文件格式 。挂载.ISO会产生四个文件:两个.DLL文件(其中一个是Qbot恶意软件)、一个快捷方式(冒充受害者应该打开的文件)和计算器程序(calc.exe) 。
该快捷方式只是调出计算器 , 但有趣的是:当计算器启动时,它会查找正确运行所需的.DLL文件 。它不会在特定文件夹中查找它们,而是首先在与calc.exe相同的文件夹中查找它们 。这让我们回到了受害者与计算器一起下载的两个.DLL文件 。
运行计算器将触发第一个.DLL文件,而该文件将触发第二个,或者在这种情况下-Qbot恶意软件 。
这种做法也称为DLL侧加载 。
【最受欢迎的Windows工具之一实际上可能存在巨大的安全风险】还值得一提的是,这种攻击不适用于Windows10或Windows11(在新标签中打开) , 但适用于Windows7 , 这就是攻击者捆绑Windows7版本的原因 。该活动自7月11日以来一直处于活跃状态,显然,截至发稿时仍处于活跃状态 。
推荐阅读
- 智居时代下,百年西蒙Simon的聚焦式创新
- 关于wouldlike用法 wouldlike的用法
- 油漆的新式改变,欧泰邦基础建材带来实用家装
- 鸭子怎么做好吃又简单的做法 鸭子怎么做好吃又简单又营养
- 喝苦瓜汁可以美容吗 苦瓜汁的功效作用是什么
- 什么是网恋 什么是网恋?
- 苔古诗 苔古诗
- 教你如何区分江河湖海 江河湖海的区别
- 我爱我的祖国 歌词 我和我的祖国歌词
- 搁的拼音 搁的拼音组词结构部首