Calculatrice Windows Des Logiciels Malveillants Qbot

En utilisant Calculatrice Windows, les opérateurs de logiciels malveillants QBot sont capables de charger leur charge utile malveillante sur les ordinateurs compromis. En bref, Windows Calculator est utilisé pour distribuer du code dangereux.

Une méthode d’attaque connue sous le nom de chargement latéral de DLL est une forme d’attaque fréquemment utilisée dans Windows afin d’exploiter la manière dont les bibliothèques de liens dynamiques (DLL) sont réglementées.

Une fausse DLL est créée en supposant l’identité d’une DLL légitime, en plaçant la fausse DLL dans un répertoire du système d’exploitation et en utilisant la fausse DLL au lieu de la vraie pour la charger.

QBot (alias Qakbot) est à l’origine un cheval de Troie bancaire, mais a évolué pour devenir un lanceur de logiciels malveillants au fur et à mesure qu’il évoluait vers une souche de logiciels malveillants plus persistante attaquant les systèmes Windows.

Eha
Table des matières hide
1 Chaîne d’infection
1.1 Recommandations

Chaîne d’infection

Lorsque les gangs de rançongiciels lancent leur attaque, les balises Cobalt Strike constituent la première étape de l’attaque, qui est un processus exécuté par ce logiciel malveillant.

Publicité

Actuellement, l’application Windows 7 Calculator est exploitée par QBot afin de mener des attaques de chargement latéral de DLL depuis le 11 juillet. Les campagnes Malspam utilisent toujours cette méthode pour envoyer du spam.

Une nouvelle chaîne d’infection de QBot a été signalé par des chercheurs de Cyble pour aider les défenseurs à se protéger contre cette nouvelle menace.

La dernière campagne utilisait des e-mails avec la pièce jointe d’un fichier HTML. Cette pièce jointe HTML télécharge une archive ZIP protégée par mot de passe contenant un fichier ISO qui est joint aux e-mails utilisés dans la dernière campagne.

Tnusrk0Ekq6Zvxybr4Tltfd7Ngvld74U4E8Z02A3Aahakjfgreo9Utzngpndcle75Dt6Gwqjpbs Lxvs5U7Snoim Jfdhazebdp2G2Ghlphccuwynorucldki3Muvmdjs5Qeqr 24Rtrqxcy6P2 Tji

Un fichier HTML inclus avec le fichier ZIP contient un mot de passe qui peut être utilisé pour ouvrir le fichier ZIP. Il est destiné à échapper à la détection par un logiciel antivirus en verrouillant l’archive.

Il y a plusieurs choses incluses dans l’ISO, et ci-dessous nous les avons toutes mentionnées : –

  • Un fichier .lnk
  • Un calc .exe légitime
  • WindowsCodecs.dllWindowsCodecs.dll
  • 7533.dll

Lors du montage du fichier ISO, l’utilisateur ne peut voir que le fichier .LNK qui se trouve dans le fichier ISO. Ce fichier malveillant était déguisé pour ressembler à un fichier PDF ou à un document du navigateur Microsoft Edge contenant des informations importantes.

Dzfdqnlhd9Qsrd Ms Vt2Ydrnhjnud8E6O8Uubjcpthqn9Zf3B6Iojea55Ie1A7Tofgkg9Lxeppqwp7Bifgmjirjlvzmkxgm 4R0Kg0Fntqce3And1Nh7Pvzcfw3 Up V 8Sbuacqbnd3Vpk Rr3Lo

Dans la boîte de dialogue des propriétés des fichiers, le raccourci pointe vers l’application Calculatrice de Windows. Lorsque vous cliquez sur le raccourci, une fenêtre d’invite de commande s’ouvre et vous êtes invité à exécuter le fichier Calc.exe.

53Ye Sdmh6Kfsfxg8Godrwon Uslr7F5Nisc718T1Qmmjgmoevpfqaayebd537 Ifa1Fzsuyxqfiyu V4J9Rntzblsmbiwhsyfzloaug2Yecrqq5K 24Udsfu9Poyzfcqfuvqaqa

Un fichier DLL WindowsCodecs légitime est automatiquement recherché lors du premier lancement et tenté d’être chargé par la calculatrice Windows 7 lorsqu’il est chargé.

Recommandations

Windows 10 Calc.exe et versions ultérieures ne prennent plus en charge la faille de sécurité du chargement latéral DLL. C’est pourquoi les acteurs de la menace ciblent la version Windows 7. Voici les mesures d’atténuation recommandées par les analystes de sécurité : –

  • Les e-mails envoyés par des expéditeurs inconnus ou non pertinents ne doivent pas être ouverts.
  • Il est conseillé de ne pas télécharger de logiciels piratés à partir de sources non fiables.
  • Les mots de passe doivent être forts et uniques.
  • Un système d’authentification multifacteur devrait être mis en place.
  • Après certains intervalles, assurez-vous de mettre à jour vos mots de passe pour les tenir à jour.
  • Utilisez toujours des logiciels et des outils antivirus fiables et robustes.
  • Assurez-vous de vérifier l’authenticité de tous les liens ou pièces jointes que vous recevez dans les e-mails avant de les ouvrir.
  • Assurez-vous que toutes les URL susceptibles d’être utilisées pour diffuser le logiciel malveillant, telles que les torrents et les warez, sont bloquées.
  • Pour empêcher l’exfiltration de données par des logiciels malveillants ou des chevaux de Troie au niveau du réseau, vous devez surveiller la balise.
  • Fournissez à vos employés une solution de prévention des pertes de données (DLP) qui protège leurs données contre les dommages.

Vous pouvez nous suivre sur Linkedin, Twitter, Facebook pour les mises à jour quotidiennes de la cybersécurité.

Rate this post
Publicité
Article précédentRien ne pourrait faire un Phone (1) Lite sans LED à l’arrière
Article suivantCette carte interactive met en évidence les personnes les plus célèbres de votre ville natale
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici