O malware QBot está a propagar-se de uma forma diferente e muito preocupante para os investigadores. Apesar do QBot não ser propriamente uma novidade e estar a ser estudado há alguns meses, agora as suas mais recentes variantes têm vindo a ser propagadas em sistemas Windows socorrendo-se apenas… da “inofensiva” calculadora!
Este ataque pode ser realizado devido ao que é conhecido como um ataque lateral de injeção de DLL, onde ficheiros DLL do Windows são substituídos por versões maliciosas.
De acordo com o site Bleeping Computer, o malware está a aproveitar-se desta forma de ataque para infetar sistemas Windows 7 desde, pelo menos, 11 de julho e, uma vez mais, recorrendo ao truque do e-mail de spam. Mensagens indesejadas de publicidade e fraudes continuam a chegar diariamente por e-mail e cerca de 40% são abertas e clicadas.
Os e-mails usados na campanha mais recente carregam um anexo de arquivo HTML que descarrega um arquivo ZIP protegido por password com um arquivo ISO dentro. A palavra-passe para abrir o arquivo ZIP é mostrada no arquivo HTML e o motivo do bloqueio do arquivo é evitar a deteção do antivírus. Ao instalar o QBot através de um programa confiável como a Calculadora do Windows, alguns softwares de segurança podem não detetar o malware quando ele é carregado, permitindo que os agentes de ameaças evitem a deteção.
Felizmente a falha apenas pode ser explorada em versões antigas do Windows, sendo que a partir do Windows 10 em diante não é possível fazer qualquer ataque por esta via.
Este é, no entanto, mais um alerta sobre a importância de manter o sistema operativo atualizado. O Windows 7, apesar de se encontrar em fim de vida, ainda é bastante usado no mercado, o que abre portas para possíveis explorações por malware para falhas que não vão mais ser corrigidas.
Fonte: Bleeping Computer
