มัลแวร์ QBot ใช้ Calculator ใน Windows 7 เพื่อโจมตีในรูปแบบ DLL side-loading เพื่อติดตั้ง payload ที่เป็นอันตรายบนเครื่องของเหยื่อ DLL side-loading เป็นการโจมตีโดยใช้ประโยชน์จากการทำงานของ Dynamic Link Libraries (DLLs) ใน Windows โดยการปลอมแปลง DLL และนำไปวางไว้ในโฟลเดอร์ที่จะทำให้ระบบปฏิบัติการโหลด DLL ของมัลแวร์ แทนที่จะเป็นไฟล์ DLL ที่ถูกต้อง
QBot หรือที่รู้จักในชื่อ Qakbot เป็นมัลแวร์ที่พัฒนามาจาก banking trojan สู่การเป็นมัลแวร์ malware dropper และมักถูกใช้โดยกลุ่มแรนซัมแวร์เพื่อติดตั้ง Cobalt Strike beacons นักวิจัยด้านความปลอดภัย ProxyLife พบว่า Qakbot ใช้โปรแกรม Calculator ใน Windows7 ในการโจมตีแบบ DLL side-loading ตั้งแต่วันที่ 17 กรกฎาคม และวิธีนี้ยังคงถูกใช้ในแคมเปญการโจมตีอื่น ๆ จากรายงานของ ProxyLife และนักวิจัยจาก Cyble พบว่า อีเมลที่ใช้ในแคมเปญล่าสุดมีไฟล์แนบ HTML ที่จะดาวน์โหลดไฟล์ ZIP ที่เข้ารหัส ซึ่งภายในมีไฟล์ ISO รหัสผ่านสำหรับเปิดไฟล์ ZIP จะแสดงในไฟล์ HTML ไฟล์ โดยสาเหตุของการใส่รหัสในไฟล์ archive ก็เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ทางด้านความปลอดภัย
ภายในไฟล์ ISO จะประกอบไปด้วยไฟล์ .LNK, ไฟล์ calc.exe (Windows Calculator) และไฟล์ DLL อีก 2 ไฟล์ คือ WindowsCodecs.dll และ Payload ชื่อ 7533.dll
เมื่อผู้ใช้เปิดไฟล์ ISO มันจะแสดงเฉพาะไฟล์ .LNK ซึ่งปลอมแปลงให้ดูเหมือนไฟล์ PDF ที่มีข้อมูลสำคัญ หรือไฟล์ที่ต้องเปิดด้วยเบราว์เซอร์ Microsoft Edge แต่จริง ๆ แล้วจะเป็นการเรียกใช้โปรแกรม Calculator ใน Windows (Calc.exe) ผ่านทาง Command Prompt(CMD) ตามที่เห็นใน Properties ของไฟล์
เมื่อมีการเรียกใช้งาน Calculator ใน Windows 7 จะค้นหา และพยายามโหลดไฟล์ WindowsCodecs DLL ขึ้นมาทำงานโดยอัตโนมัติ แต่จะไม่มีการตรวจสอบ Path ของ DLL แต่จะโหลด DLL ใด ๆ ก็ตามทีมีชื่อเดียวกัน ซึ่งอยู่ภายในโฟลเดอร์เดียวกันกับที่ Calc.exe ถูกรันขึ้นมา
แฮ็กเกอร์จะใช้ประโยชน์จากช่องโหว่นี้โดยการสร้างไฟล์ WindowsCodecs.dll ที่เป็นอันตราย ซึ่งจะเปิดไฟล์ DLL อื่น ๆ ซึ่งเป็นมัลแวร์ QBot
การติดตั้ง QBot ผ่านโปรแกรมที่เชื่อถือได้ เช่น Windows Calculator ลักษณะนี้ ทำให้อุปกรณ์ทางด้านความปลอดภัยบางประเภทไม่มองว่าเป็นพฤติกรรมที่อันตราย ซึ่งช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับได้
อย่างไรก็ตามการโจมตีแบบ DLL sideloading ไม่สามารถทำได้แล้วบน Calc.exe ใน Windows 10 จึงเป็นสาเหตุที่กลุ่มผู้โจมตีจึงใช้วิธีการดังกล่าวบน Windows 7
ที่มา : bleepingcomputer
You must be logged in to post a comment.