Sử dụng ứng dụng mặc định trên máy tính để bàn của Windows, tin tặc có thể lây nhiễm mã độc vào thiết bị để lấy cắp thông tin hoặc tống tiền.
Nhà nghiên cứu bảo mật “ProxyLife” vừa phát hiện ra một thủ thuật sử dụng ứng dụng Windows 7 dành cho máy tính để bàn để tấn công các thiết bị được cài đặt phiên bản mới hơn. Nếu không cẩn thận, người dùng sẽ lây nhiễm QBot cho máy tính, mã độc đánh cắp hoặc tống tiền thông tin cá nhân.
Theo Bleeping Computer, tin tặc “lừa” người dùng bằng cách gửi email chứa các tệp định dạng web (HTML). Khi mở tệp này, trình duyệt sẽ tải xuống tệp nén (ZIP) có mật khẩu, tệp này chứa tệp khác ở định dạng ISO. Đặt mật khẩu sẽ giúp phần mềm diệt virus trên máy tính không quét và phát hiện các mục đáng ngờ.
Tệp ISO chứa tệp lối tắt (LNK) và ứng dụng calc.exe, là ứng dụng máy tính mặc định của Windows 7. Thư mục này cũng chứa hai tệp DLL, bao gồm mã giúp ứng dụng hoạt động. Trong đó, tập tin “WindowsCodecs.dll” đã được chỉnh sửa để liên kết với một tập tin có mã độc có tên “102755.dll”.
Ban đầu, người dùng chỉ thấy tệp LNK được ngụy trang dưới dạng tài liệu báo cáo PDF khi mở tệp ISO. Trên thực tế, đây là một lối tắt đến tệp “calc.exe” nằm trong cùng một thư mục. Khi mở tệp PDF, ứng dụng máy tính ‘calc.exe’ sẽ được kích hoạt cùng với các tệp DLL có chứa mã độc.
Cụ thể, calc.exe liên kết đến WindowsCodecs.dll, dẫn đến 102755.dll lây nhiễm QBot cho thiết bị. Bởi vì tệp calc.exe được coi là một ứng dụng đáng tin cậy, hệ thống bảo mật của Windows không cảnh báo người dùng khi nó được truy cập.
Lý do khiến hacker sử dụng tệp tin calc.exe của Windows 7 là khi được kích hoạt, ứng dụng này ưu tiên liên kết đến tệp DLL nằm trong cùng thư mục (nếu có). Trong khi đó, trên các phiên bản Windows mới, ứng dụng Máy tính luôn tìm kiếm tệp DLL trong thư mục hệ thống.
QBot (Qakbot) xuất hiện từ năm 2009. Ban đầu, QBot hoạt động như một trojan chuyên đánh cắp tài khoản ngân hàng, sau đó phát triển thành mã độc (malware) được các tổ chức hack sử dụng để lấy cắp thông tin. thông tin hoặc giúp phát tán ransomware.
Chiến dịch lây nhiễm QBot với một ứng dụng dành cho máy tính để bàn đã được ProxyLife phát hiện vào giữa tháng Bảy. Không rõ liệu Microsoft có cập nhật Windows Defender để ngăn chặn các kiểu tấn công này hay không. Người dùng có thể tránh điều này bằng cách không tải xuống tệp từ các trang web hoặc email không xác định.
Tin tức vừa cập nhật: