Хакеры научились взламывать Windows 7 с помощью встроенного в ОС калькулятора

Вредоносное ПО QBot, изначально являвшееся трояном для банковских приложений, теперь превратилось в платформу для распространения других вредоносных программ, активно используемую бандами вымогателей.

Злоумышленники воспользовались стандартной программой «Калькулятор» из Windows 7, чтобы выполнить операцию боковой загрузки DLL. Этот метод использовался во вредоносных атаках при рассылке спама. Сообщается, что вредоносное ПО заражает ПК с 11 июля этого года.

Вредоносное ПО распространяется через письма на электронный почтовый ящик с вложенным PDF-файлом и защищенным паролем ZIP-архивом. ZIP-файл защищен паролем, чтобы избежать антивирусной защиты. Злоумышленники помещают ISO-файл в ZIP-архив, содержащий LNK-копию «calculator.exe» (Калькулятор Windows) и пара DLL-файлов, среди которых WindowsCodecs.dll, а также 7533.dll.

Как только вы монтируете файл ISO, запускается ярлык, непосредственно связанный напрямую с встроенным в ОС Windows Calculator, а затем это ПО QBot внедряется в вашу систему с помощью командной строки.

Использование «Калькулятора», который является стандартной программой, делает этот вредонос весьма эффективным, поскольку оно выполняется у всех на виду даже при установленном в системе антивирусном программном обеспечении.

Однако вредоносное ПО неэффективно для более новых систем Windows 10 или 11. Злоумышленники не имеют возможности использовать методы боковой загрузки DLL в более новых итерациях Windows, но пользователи, работающие под управлением Windows 7 или более ранней версии, должны опасаться любых спам-сообщений, прежде чем открывать их.