มัลแวร์ QBot ใช้ Calculator ใน Windows 7 เพื่อโจมตีในรูปแบบ DLL side-loading เพื่อติดตั้ง payload ที่เป็นอันตรายบนเครื่องของเหยื่อ DLL side-loading เป็นการโจมตีโดยใช้ประโยชน์จากการทำงานของ Dynamic Link Libraries (DLLs) ใน Windows โดยการปลอมแปลง DLL และนำไปวางไว้ในโฟลเดอร์ที่จะทำให้ระบบปฏิบัติการโหลด DLL ของมัลแวร์ แทนที่จะเป็นไฟล์ DLL ที่ถูกต้อง
QBot หรือที่รู้จักในชื่อ Qakbot เป็นมัลแวร์ที่พัฒนามาจาก banking trojan สู่การเป็นมัลแวร์ malware dropper และมักถูกใช้โดยกลุ่มแรนซัมแวร์เพื่อติดตั้ง Cobalt Strike beacons นักวิจัยด้านความปลอดภัย ProxyLife พบว่า Qakbot ใช้โปรแกรม Calculator ใน Windows7 ในการโจมตีแบบ DLL side-loading ตั้งแต่วันที่ 17 กรกฎาคม และวิธีนี้ยังคงถูกใช้ในแคมเปญการโจมตีอื่น ๆ จากรายงานของ ProxyLife และนักวิจัยจาก Cyble พบว่า อีเมลที่ใช้ในแคมเปญล่าสุดมีไฟล์แนบ HTML ที่จะดาวน์โหลดไฟล์ ZIP ที่เข้ารหัส ซึ่งภายในมีไฟล์ ISO รหัสผ่านสำหรับเปิดไฟล์ ZIP จะแสดงในไฟล์ HTML ไฟล์ โดยสาเหตุของการใส่รหัสในไฟล์ archive ก็เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ทางด้านความปลอดภัย
(more…)