3519 подписчиков
#news Занятный новый вектор атаки у старичка Qbot: через подмену DLL калькулятора в винде. Фишинговое письмо с запароленным архивом, в нём ISO-файл с замаскированной под PDF ссылкой на экзешник калькулятора и парой вредоносных dll-библиотек. Стоит юзеру кликнуть по ссылке, калькулятор подгружает подменённую WindowsCodecs.dll с ISO, а через неё уже вторую с Qbot’ом. Подгрузка через легитимное приложение позволяет обойти некоторые антивирусы.
А занятен он ещё и тем, что атаки идут только по Windows 7 — в десятке и старше калькуляторный эксплойт исправлен. Так ветеран киберпреступных полей и уже пару лет как лишившаяся поддержки система нашли друг друга. Всевозможную рансомварь через Qbot’a и по сей день гоняют исправно: например, пару месяцев назад в партнёрстве с ним были замечены дарования из Black Basta с солидным списком взломов.
@tomhunter
Около минуты
25 июля 2022