文章插图
【最受欢迎的Windows工具之一实际上可能存在巨大的安全风险】计算器是最基本(也是最有用)的Windows工具之一,被滥用以将恶意软件加载到目标端点(在新标签中打开),研究人员发现 。ProxyLife专家发现Windows计算器工具可用于用Qbot感染设备,Qbot是一种已知的恶意软件投放器 , 用于在目标设备上传递CobaltStrike信标,这通常是勒索软件攻击的第一步 。
像往常一样,攻击从网络钓鱼尝试开始 。威胁参与者将邮寄给受害者 , 并附上一个HTML文件,然后下载受密码保护的.ZIP存档 。受密码保护有助于有效负载避免被防病毒检测到(在新标签中打开)程式 。提取.ZIP存档会显示.ISO文件,这是一种复制物理CD、DVD或BD的数字文件格式 。挂载.ISO会产生四个文件:两个.DLL文件(其中一个是Qbot恶意软件)、一个快捷方式(冒充受害者应该打开的文件)和计算器程序(calc.exe) 。
该快捷方式只是调出计算器,但有趣的是:当计算器启动时,它会查找正确运行所需的.DLL文件 。它不会在特定文件夹中查找它们,而是首先在与calc.exe相同的文件夹中查找它们 。这让我们回到了受害者与计算器一起下载的两个.DLL文件 。
运行计算器将触发第一个.DLL文件,而该文件将触发第二个,或者在这种情况下-Qbot恶意软件 。
这种做法也称为DLL侧加载 。
还值得一提的是,这种攻击不适用于Windows10或Windows11(在新标签中打开) , 但适用于Windows7,这就是攻击者捆绑Windows7版本的原因 。该活动自7月11日以来一直处于活跃状态,显然,截至发稿时仍处于活跃状态 。
- 2013款奥迪a6的车架号在哪里啊
- 紫砂杯适合泡什么茶 紫砂泡什么茶最好
- 狗狗有什么食物是不能吃的
- 犹在文言文中的意思及例句
- 精卫填海是什么故事 精卫填海是什么故事改编的
- 同一首歌ktv价格 ktv合唱的歌
- 横笛哪种调的好学
- 阵雨和雷阵雨的区别 阵雨和雷阵雨有什么区别
- 给刚出生的男孩送什么好
- 奥迪a4目前价格 奥迪A4的价格是多少