“Hackers” usan la calculadora de Windows para infectar equipos

Foto de depositphotos.com 

Ciudad de México.- Los piratas informáticos encontraron un método inusual y poco convencional para infectar las PC con malware: distribuir código peligroso con la Calculadora de Windows.

Las personas detrás del conocido malware QBot han logrado encontrar una manera de usar el programa para cargar código malicioso en los sistemas infectados.

Los expertos de ProxyLife descubrieron que la herramienta de calculadora de Windows se puede usar para infectar el dispositivo con Qbot, un malware que se usa para entregar balizas Cobalt Strike en dispositivos específicos, que a menudo es el primer paso en un ataque de ransomware.

¿Cómo funciona el ataque?

El ataque comienza con un intento de phishing. El actor de la amenaza le enviará un correo a la víctima, adjuntando un archivo HTML que, a su vez, descarga un archivo .ZIP protegido por contraseña.

Estar protegido con contraseña ayuda a que la carga útil evite la detección del antivirus (se abre en una pestaña nueva) por los programas al extraer el archivo .ZIP.

Una vez abierto este archivo, se muestra un archivo .ISO, un formato de archivo digital que replica un CD, DVD o BD físico. De ejecutar el .ISO se generan cuatro archivos: dos archivos .DLL (uno de los cuales es el malware Qbot), un acceso directo (que se hace pasar por el archivo que se supone que la víctima debe abrir) y el programa de calculadora (calc.exe).

Ejecutar archivos DLL maliciosos

El acceso directo no hace más que abrir la calculadora, pero aquí está el «detalle», ya que cuando la calculadora comience a funcionar, buscará los archivos .DLL necesarios para ejecutarse correctamente.

No los buscará en carpetas específicas, sino, ante todo, en la misma carpeta que calc.exe. Lo que nos lleva de vuelta a los dos archivos .DLL que la víctima descargó junto con la Calculadora.

Ejecutar la calculadora activará el primer archivo .DLL, y ese activará el segundo, en este caso, el malware Qbot. La práctica también se conoce como carga lateral de DLL.

También vale la pena mencionar que este ataque no funciona en Windows 10 o Windows 11(se abre en una pestaña nueva), pero funciona en Windows 7, razón por la cual los actores de amenazas incluyen la versión de Windows 7. La campaña ha estado activa desde el 11 de julio.

Windows Calculator no es un programa comúnmente utilizado por los actores de amenazas para infiltrarse en los objetivos, pero cuando se trata del estado actual de la piratería y su avance, nada parece estar más allá del ámbito de la posibilidad. La primera aparición de QBot en sí ocurrió hace más de una década y anteriormente se usó con fines de ransomware.

En otros lugares, hemos visto una tasa agresiva de actividad en el espacio de malware y piratería a lo largo de 2022, como el ataque HTTPS DDoS más grande de la historia. Las propias pandillas de ransomware también están evolucionando, por lo que no es una sorpresa que estén continuamente encontrando lagunas de las que beneficiarse.

Con el aumento alarmante de los delitos cibernéticos en general, el gigante tecnológico Microsoft incluso ha lanzado una iniciativa de seguridad cibernética, con el “panorama de seguridad [volviéndose] cada vez más desafiante y complejo para nuestros clientes”. (EL UNIVERSAL)

Autor

El Universal
El Universal