QBot (noto anche come Qakbot) è uno dei malware più diffusi. Da semplice trojan bancario è diventato un dropper e quindi utilizzato per scaricare altri payload, ransomware inclusi. I ricercatori di Cyble hanno scoperto un nuovo attacco phishing che sfrutta la calcolatrice di Windows 7 per infettare i computer. Le email possono essere intercettate da molte soluzioni di sicurezza, tra cui Avast Premium Security.
QBot usa la calcolatrice di Windows
La catena di infezione inizia con l’invio di un’email di phishing che contiene un file HTML. Se l’ignara vittima apre il file, un archivio ZIP protetto da password (indicata nel file HTML) viene scaricato nella cartella Download. Nell’archivio c’è un’immagine ISO con quattro file: Report Jul 14 4778.lnk
(mascherato come file PDF), calc.exe
, WindowsCodecs.dll
e 7533.dll
. Tuttavia l’utente vedrà solo il file .lnk
in Esplora file.
Per infettare il computer viene usata una tecnica nota come DLL sideloading. I cybercriminali inseriscono nella stessa directory un file legittimo (calc.exe
) e una DLL infetta (WindowsCodecs.dll
) con lo stesso nome di quella legittima. Se l’utente clicca sul file Report Jul 14 4778.lnk
viene avviata la calcolatrice tramite prompt dei comandi. Il file calc.exe
carica in memoria WindowsCodecs.dll
che a sua volta esegue 7533.dll
, ovvero il malware QBot.
Il DLL sideloading non funziona con la calcolatrice di Windows 10. Ecco perché viene usata la versione di Windows 7. Una soluzione di sicurezza efficace, come Avast Premium Security, rileva il tentativo di phishing bloccando l’inizio dell’infezione.