Vous ne devinerez jamais pourquoi les pirates utilisent Microsoft Calculator

Hibou Gourou

Les pirates ont trouvé une méthode inhabituelle et non conventionnelle pour infecter les PC avec des logiciels malveillants : distribuer du code dangereux avec Windows Calculator.

Les personnes à l'origine du célèbre logiciel malveillant QBot ont réussi à trouver un moyen d'utiliser le programme pour charger du code malveillant sur les systèmes infectés.

Représentation d'un pirate informatique pénétrant dans un système via l'utilisation de code.
Getty Images

Comme indiqué par Bleeping Computer , le chargement latéral des bibliothèques de liens dynamiques (DLL) se produit lorsqu'une DLL réelle est usurpée, après quoi elle est déplacée vers un dossier afin de tromper le système d'exploitation de la machine pour charger la version trafiquée par opposition à la vraie DLL. des dossiers.

QBot, une souche de logiciels malveillants Windows, était initialement connu comme un cheval de Troie bancaire. Cependant, les gangs de rançongiciels en dépendent désormais en raison de son évolution vers une plate-forme de distribution de logiciels malveillants.

QBot utilise le programme Windows 7 Calculator en particulier pour exécuter des attaques de chargement latéral de DLL, selon le chercheur en sécurité ProxyLife. Ces attaques infectent les PC depuis au moins le 11 juillet, et c'est aussi une méthode efficace pour mener des campagnes de spam malveillant (malspam).

Les e-mails contenant le logiciel malveillant sous la forme d'une pièce jointe HTML incluent une archive ZIP fournie avec un fichier ISO, qui contient un fichier .LNK, une copie de « calc.exe » (calculatrice Windows), ainsi que deux fichiers DLL. : WindowsCodecs.dll, rejoint par une charge utile malveillante (7533.dll).

L'ouverture du fichier ISO exécute finalement un raccourci qui, après une enquête plus approfondie de la boîte de dialogue des propriétés des fichiers, est lié à l'application Calculatrice de Windows. Une fois ce raccourci ouvert, l'infection s'infiltre dans le système avec le logiciel malveillant QBot via l'invite de commande.

La nouvelle version de l'application Calculatrice dans Windows 11.

Étant donné que Windows Calculator est évidemment un programme de confiance, inciter le système à distribuer une charge utile via l'application signifie que le logiciel de sécurité pourrait ne pas détecter le logiciel malveillant lui-même, ce qui en fait un moyen extrêmement efficace et créatif d'éviter la détection.

Cela dit, les pirates ne peuvent plus utiliser la technique de chargement latéral de DLL sur Windows 10 ou Windows 11, donc toute personne utilisant Windows 7 doit se méfier des e-mails et fichiers ISO suspects.

Windows Calculator n'est pas un programme couramment utilisé par les acteurs de la menace pour infiltrer des cibles, mais en ce qui concerne l'état actuel du piratage et son avancement, rien ne semble être au-delà du domaine du possible. La première apparition de QBot lui-même a eu lieu il y a plus de dix ans et il a déjà été utilisé à des fins de ransomware.

Ailleurs, nous avons constaté un taux d'activité agressif dans l'espace des logiciels malveillants et du piratage tout au long de 2022, comme la plus grande attaque HTTPS DDoS de l'histoire . Les gangs de rançongiciels eux-mêmes évoluent également , il n'est donc pas surprenant qu'ils trouvent continuellement des failles dont ils peuvent tirer profit.

Avec l'augmentation alarmante de la cybercriminalité en général, le géant de la technologie Microsoft a même lancé une initiative de cybersécurité , le « paysage de la sécurité [devenant] de plus en plus difficile et complexe pour nos clients ».