La calculatrice, l’un des outils Windows les plus élémentaires (et les plus utiles), est utilisée de manière abusive pour charger des logiciels malveillants sur les terminaux cibles (s’ouvre dans un nouvel onglet)ont découvert des chercheurs.
Les experts de ProxyLife ont découvert que l’outil de calcul Windows peut être utilisé pour infecter l’appareil avec Qbot, un compte-gouttes de logiciels malveillants connu utilisé pour fournir des balises Cobalt Strike sur des appareils ciblés, ce qui est souvent la première étape d’une attaque de ransomware.
Comme d’habitude, l’attaque commence par une tentative de phishing. L’auteur de la menace enverra un e-mail à la victime, en joignant un fichier HTML qui, à son tour, téléchargera une archive .ZIP protégée par mot de passe. La protection par mot de passe aide la charge utile à éviter d’être détectée par un antivirus (s’ouvre dans un nouvel onglet) programmes. L’extraction de l’archive .ZIP affiche un fichier .ISO, un format de fichier numérique reproduisant un CD, DVD ou BD physique. Le montage du .ISO génère quatre fichiers : deux fichiers .DLL (dont l’un est le logiciel malveillant Qbot), un raccourci (se présentant comme le fichier que la victime est censée ouvrir) et le programme de la calculatrice (calc.exe).
Exécution de DLL malveillantes
Le raccourci ne fait rien de plus que d’afficher la calculatrice, mais voici la partie amusante : lorsque la calculatrice démarre, elle recherche les fichiers .DLL nécessaires pour fonctionner correctement. Il ne les cherchera pas dans des dossiers spécifiques, mais plutôt avant tout – dans le même dossier que calc.exe. Ce qui nous ramène aux deux fichiers .DLL que la victime a téléchargés avec la calculatrice.
L’exécution de la calculatrice déclenchera le premier fichier .DLL, et celui-ci déclenchera le second, ou dans ce cas – le malware Qbot.
La pratique est également connue sous le nom de chargement latéral de DLL.
Il convient également de mentionner que cette attaque ne fonctionne pas sur Windows 10 ou Windows 11 (s’ouvre dans un nouvel onglet), mais fonctionne sur Windows 7, c’est pourquoi les acteurs de la menace regroupent la version Windows 7. La campagne est active depuis le 11 juillet et, apparemment, est toujours active au moment de mettre sous presse.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)