Publicidade

Falha em calculadora do Windows é usada em ataques com malware

Por| Editado por Claudio Yuge | 25 de Julho de 2022 às 13h20

Link copiado!

Tadas Sar/Unsplash
Tadas Sar/Unsplash

Uma falha na forma de executar DLLs da Calculadora do Windows 7 está sendo usada por criminosos como método de contaminação pelo vírus Qbot. A exploração envolve os tradicionais e-mails de phishing, que carregam supostos arquivos importantes e protegidos por senha, que quando abertos, iniciam uma cadeira de ações que levam à instalação do malware.

Os bandidos utilizam um método conhecido como DLL side-loading. O carregamento lateral consiste em executar aplicativos a partir de versões maliciosas dos arquivos, que permitam a abertura de portas para a instalação de vírus, neste caso, uma praga capaz de baixar outros vírus e levar a ataques envolvendo ransomware, roubo de dados e outras explorações.

O vetor de ataque ainda é comum, envolvendo e-mails disseminados em massa que carregam arquivos anexos protegidos por senha, de forma que não possam ser analisados por antivírus e outras soluções de segurança. Dentro, estão dados no formado ISO e, também, o executável da Calculadora do Windows 7, bem como dois arquivos DLL comprometidos que dão continuidade ao ataque.

Continua após a publicidade

O ataque acontece a partir do clique no suposto relatório, com ícone de PDF e nome de arquivo reconhecível. O arquivo, entretanto, é um atalho do Windows que aponta para a Calculadora; o golpe acontece quando o aplicativo executa as DLLs disponíveis na própria pasta em que está e não em um caminho pré-determinado no sistema operacional.

É por isso que a versão do sistema operacional antigo é utilizada, já que, no Windows 10, essa exploração não é mais possível, justamente como medida de segurança que garante a confiabilidade dos dados — se o software antigo é rodado, entretanto, a abertura ainda persiste. Quando a Calculadora é executada, o Qbot é implantado na máquina, também de forma não detectável por acompanhar um software legítimo da plataforma; as portas, então, ficam abertas para novas explorações e o recebimento de comandos pela máquina infectada.

Como o malware Qakbot surgiu?

Continua após a publicidade

Também conhecida como Qakbot, a ameaça surgiu como um vírus focado em sistemas bancários, mas evoluiu em suas capacidades para se tornar o que os especialistas em segurança chamam de dropper, uma ameaça capaz de baixar outras para o sistema. Entre as pragas que já foram utilizadas em golpes combinados desse tipo estão o Cobalt Strike, que permite intrusão em redes, e ransomware como Maze, Egregor, Black Basta e ProLock.

Os primeiros ataques envolvendo o formato foram registrados no dia 11 de julho, conforme relatado pela empresa de segurança Cyble. A campanha segue ativa a partir de e-mails disseminados em massa e focados no mercado corporativo, sempre o principal alvo de explorações envolvendo arquivos anexos e o carregamento lateral de DLLs comprometidas no Windows.

Sendo assim, a atenção de sempre deve ser dada a mensagens que tragam arquivos anexos. É importante se certificar sobre a origem dos e-mails e prestar atenção em domínios e demais indicadores antes de abrir qualquer dado desse tipo; desconfie sempre de informações em formato compactado ou que tragam aplicações executáveis em seu interior.

Manter sistemas operacionais atualizados e plataformas de segurança rodando no computador também ajuda a evitar os ataques mais comuns. Indicadores de comprometimento também foram liberados como parte do alerta sobre a campanha maliciosa e podem ser aplicados para conter explorações em andamento.

Continua após a publicidade

Fonte: Cyble