Angreifer nutzt Windows-Taschenrechner, um Geräte zu infizieren

Hinter dem Windows-Rechner würde man jetzt kein Einfallstor für Schadsoftware vermuten. Genau diesen Weg gehen jetzt aber die Macher der QBot-Malware. Die Angriffe zielen auf wenig vorsichtige Nutzer von Windows 7 und setzen auf manipulierte DLL-Datein.
Windows 7, Rechner, Taschenrechner, calculator
Microsoft

Da steckt Gefahrenpotenzial zwischen Plus, Minus und Mal

Windows 7 kommt immer mehr in die Jahre, da zeigen sich hier und da kleine Risse in der Fassade, die sich zu echt großen Problemen ausweiten. Aktuell warnt Bleeping Computer vor einem neuen Einfallstor in dem 13 Jahre alten Betriebssystem. Die Hinterleute hinter der Malware QBot, ihrerseits schon ein Jahrzehnt alt, gehen aktuell den Weg über eine Lücke im Windows-Rechner, um die bösartige Nutzlast auf infizierte Computer zu laden. Windows 7-Attacke über den RechnerGefälschte DLL wird zusammen mit der Calc.exe zum Problem Prinzipiell handelt es sich dabei um eine Attacke, die auf das sehr verbreitete "DLL Sideloading" setzt, bei dem eine Schwäche in der Art, wie Dynamic Link Libraries (DLLs) in Windows gehandhabt werden, ausgenutzt wird. Die recht simple Angriffsmethode: eine legitime DDL wird gefälscht und im entsprechenden Ordner platziert, aus dem das Betriebssystem diese dann abruft.
Windows 7-Attacke über den RechnerOhne Mithilfe der Opfer... Windows 7-Attacke über den Rechner...hat QBot aber keine Chance
Jetzt hat der Sicherheitsforscher mit dem Alias ProxyLife entdeckt, dass QBot diese Methode mindestens seit 11. Juli nutzt, um Rechner für Malware-Kampagnen und eventuelle weitere Angriffe zu infizieren. Wie so oft geht es aber nicht ohne die fehlende Vorsicht der Opfer. Die HInterleute nutzen E-Mails mit Anhängen, die nicht nur geöffnet, sondern aktiv heruntergeladen werden müssen.

Dreimal durch den Reifen springen bitte

Das war es aber dann noch nicht mit der unfreiwilligen Mithilfe, die Angegriffene leisten müssen. Gleich mehrere Schritte mit Passwortabfragen sind nötig, bis zuletzt der Klick auf eine Verknüpfung die Infektion auslöst. Hier kommt Windows DLL-Problem ins Spiel: Das Rechner-Programm sucht nicht etwa nach der DLL in fest kodierten Pfaden, sondern lädt einfach jede DLL mit scheinbar passendem Namen, die zusammen im Ordner mit der ausführbaren Datei Calc.exe liegt.

Der entsprechende DLL-Sideloading-Fehler kann mit der Windows 10 Calc.exe und höher nicht mehr ausgenutzt werden, deshalb konzentrieren sich diese Angriffe auf die Windows 7-Version. Und unter Windows 7 kann das gesunde Maß an Vorsicht und Aufmerksamkeit bei der Öffnung von E-Mails die Attacke gänzlich verhindern.

Siehe auch:

Download PEStudio: EXE-Dateien auf Malware analysieren Download Malwarebytes - Schutz vor Schadsoftware
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Lisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/LenovoLisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/Lenovo
Original Amazon-Preis
79,98
Im Preisvergleich ab
?
Blitzangebot-Preis
53,98
Ersparnis zu Amazon 33% oder 26
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!