Calculadora do Windows usada para ataques malware

O malware QBot / Qakbot está a usar a calculadora do Windows para infectar os sistemas.

Por muito negativo que possam ser, é sempre interessante ver as técnicas utilizadas por atacantes para infectarem os sistemas das vítimas. No caso do QBot, que começou por ser um trojan bancário mas evoluiu para um distribuidor de malware, isso está a ser feito tirando partido da calculadora do Windows.

O vector de ataque inicial começa pelo envio de um ZIP protegido por password contendo um ficheiro ISO lá dentro - técnicas comuns para evitarem a detecção do malware pelos sistemas de antivírus e que, desde logo, deveriam ser mais que suficientes para sinalizar aos utilizadores de que este seria um daqueles emails dos quais se deveriam manter afastados sem clicar em nada.

Para os que se derem ao trabalho de abrir o ficheiro ZIP e o ISO, serão presentados com a app de calculadora do Windows, que é legítima, mas que é acompanhada por dois DLL que têm o malware.

Os atacantes tiram partido do facto da calculadora do Windows abrir um DLL chamado WindowsCodecs.dll, mas que neste caso é substituído por uma versão com malware que é colocada na pasta do programa, tendo prioridade sobre o DLL legítimo que se encontra na pasta de sistema do Windows - uma técnica chamada DLL side-loading, e que tenta ludibriar os sistemas de detecção de malware iniciando o processo usando um programa legítimo: neste caso a calculadora.

O DLL WindowsCodecs é uma versão modificada que tenta executar o processo malicioso que se encontra noutro DLL - 7533.dll - e, a partir daí, deixando a máquina sob controlo dos atacantes para que possa ser alvo de diversos tipos de ataque, como spyware ou ransomware.

Neste caso o ataque centra-se sobre máquinas mais antigas, ainda com Windows 7, pois este ataque via DLL já não funciona com a calculadora do Windows 10. Algo que também relembra os riscos de se utilizar um sistema operativo desactualizado.