روش خلاقانه هکرها برای نفوذ به کامپیوترهای شخصی با استفاده از برنامه ماشینحساب مایکروسافت
هکرها روشی غیرمعمول و نامتعارف برای آلودهکردن کامپیوترهای شخصی به بدافزار پیدا کردهاند: توزیع کدهای خطرناک با برنامهی ماشین حساب ویندوز. درواقع، سازندگان بدافزار معروف QBot موفق شدهاند راهکاری برای تزریق کدهای مخرب به این برنامه بیابند.
در روش بارگذاری جانبی فایلهای DLL، نسخهی اصلی آن جعل و به پوشهای دیگر منتقل میشود تا سیستمعامل دستگاه را فریب دهد و نسخهی آلوده را جایگزین نسخهی اصلی کند. QBot نوعی از بدافزارهای ویندوزی است که در ابتدا بهعنوان تروجان بانکی شناخته میشد. بااینحال، با تکامل یافتن این ابزار و تبدیلشدن آن به پلتفرم توزیع بدافزار، گروههای باجافزاری زیادی به آن وابسته شدهاند.
بهگفتهی محققان ProxyLife، بدافزار QBot بهطورخاص از برنامهی ماشینحساب ویندوز ۷ برای اجرای حملههای بارگذاری جانبی کد در DLL استفاده میکند. این حملهها حداقل از ۱۱ ژانویه کامپیوترهای شخصی را هدف قرار دادهاند و بهعنوان روشی مؤثر برای اجرای کمپینهای مخرب هرزنامه استفاده شدهاند.
دیجیتال ترندز گزارش میدهد ایمیلهایی حاوی بدافزار بهشکل پیوست فایل HTML هستند و در آنها، آرشیوی با پسوند ZIP بههمراه یک فایل ISO وجود دارد که حاوی فایل LNK و یک کپی از calc.exe و دو فایل DLL ازجمله WindowsCodecs.dll است. بازکردن فایل ISO در این نوع ایمیلها، میانبری اجرا خواهد کرد که پس از بررسی بیشتر دربارهی خصوصیات فایلها، به برنامهی ماشینحساب ویندوز پیوند داده میشود. پس از بازشدن این میانبر، کد مخرب با بدافزار QBot ازطریق ابزار خط فرمان (Command Prompt) به سیستم نفوذ میکند.
باتوجهبه این واقعیت که ماشینحساب ویندوز برنامهای مطمئن است، فریبدادن سیستم برای توزیع کدهای آلوده ازطریق این نرمافزار، یعنی برنامهی امنیتی نمیتواند آن را شناسایی کند؛ بنابراین با روشی بسیار مؤثر و خلاقانه، از شناساییشدن جلوگیری میکند. همانطورکه اشاره کردیم، هکرها دیگر نمیتوانند از تکنیک بارگذاری جانبی بدافزار در فایلهای DLL ویندوز ۱۰ یا ویندوز ۱۱ استفاده کنند؛ ازاینرو، افرادی که همچنان از ویندوز ۷ استفاده میکنند، باید مراقب هرگونه ایمیل مشکوک حاوی فایلهای ISO باشند.
ماشینحساب ویندوز برنامهای نیست که هکرها معمولاً از آن بهعنوان روشی برای نفوذ به سیستمهای هدف استفاده کنند، اما هنگامیکه از وضعیت فعلی هک و پیشرفت آن سخن بهمیان آید، بهنظر میرسد استفاده از چنین راهکاری خیلی عجیب بهنظر نمیرسد. QBot اولینبار بیش از یک دهه قبل شناسایی شد. ناگفته نماند این ابزار قبلاً برای اهداف باجافزاری استفاده میشد.
در سال ۲۰۲۲ افزایش فعالیت بدافزارها را شاهد بودهایم که ازجملهی آنها میتوان به بزرگترین حملهی HTTPS DDoS تاریخ اشاره کرد. علاوهبراین، گروههای باجافزاری در حال تکامل ابزارهای خود هستند؛ بنابراین، جای تعجب ندارد که دائماً از حفرههای جدیدی برای دستیابی به اهدافشان استفاده میکنند. در همین حال، غولهای فناوری مثل مایکروسافت با افزایش هشدارهای مرتبط با جرایم سایبری، راهکارهای جدیدی برای بهبود امنیت در فضای اینترنت ارائه دادهاند.