El malware QBot te infecta usando la calculadora: Windows ni se entera

Los hackers de todo el mundo no descansan buscando formas de poder atacar masivamente cualquier equipo que se les ponga a tiro. Estos cada vez encuentran formas más ingeniosas para conseguir burlar a los antivirus y al resto de sistemas de seguridad de nuestros ordenadores. El último intento descubierto involucra al malware QBot, capaz de infectar un equipo a través de la calculadora de Windows. Te contamos más sobre ello.

Tal y como veremos a continuación, este malware ha estado llegando en oleadas a través de correos electrónicos fraudulentos, los cuales contenían un archivo muy peligroso capaz de pasar desapercibido para cualquier antivirus.

Así es capaz de infectar QBot tu Windows

Como decimos un poco más arriba, este malware tiene una nueva forma de infectar los equipos de todo el mundo: ha estado utilizando la calculadora de Windows para acceder a los ordenadores que usan Windows. La carga lateral de DLL es un método de ataque muy común que aprovecha cómo se manejan las bibliotecas de vínculos dinámicos (DLL) en Windows. Consiste en suplantar una DLL legítima y colocarla en una carpeta donde la carga el sistema operativo en lugar de la legítima.

Por si no lo conoces, QBot, que también se conoce como Quakbot, es una cepa de un malware de Windows que comenzó como un troyano bancario, pero que con el tiempo se convirtió en un gotero de malware. Que se sepa, este malware empezó a atacar a Windows en 2007, y desde entonces no ha parado de hacerlo. Este es utilizado por las bandas de ransomware en las primeras etapas del ataque.

La firma de investigación de seguridad ProxyLife ha descubierto que QBot ha estado abusando de la aplicación Windows 7 Calculator para ataques de carga lateral de DLL desde al menos el 11 de julio. Cuando se infiltra en el sistema puede obtener mucha información personal del usuario, que incluiría por supuesto datos bancarios del usuario, así como el correo electrónico y su contraseña.

El ataque de este malware tan peligroso en esta última oleada comienza siempre de la misma manera: un correo electrónico. Estos correos, según apunta la firma ProxyLife, contienen un archivo HTML adjunto que descarga un archivo ZIP protegido con contraseña con un archivo ISO en su interior. La contraseña para abrir el archivo ZIP se muestra dentro del archivo HTML, y la razón de esto es poder evadir la detección del antivirus.

Así aparece el archivo HTML (Fuente: Bleeping Computer)

Esta ISO contiene un archivo .LNK, una copia de «calc.exe» (la calculadora de Windows) y dos archivos DLL, a saber, WindowsCodecs.dll y una carga útil llamada 7533.dll. Cuando el usuario monta este archivo ISO en su ordenador solo aparece el archivo .LNK, que de hecho se «camufla» como si fuera un archivo PDF o un archivo que se abre con el navegador Microsoft Edge. Sin embargo, el acceso directo apunta a la aplicación Calculadora de Windows, como se ve en la siguiente captura:

Fuente: Bleeping Computer

Al hacer clic en el acceso directo, se desencadena la infección ejecutando el .exe Calc a través del símbolo de sistema. Cuando este se carga, la Calculadora de Windows 7 busca e intenta cargar automáticamente el archivo DLL legítimo de WindowsCodecs. Sin embargo, el sistema no comprueba la DLL en ciertas rutas y cargará cualquier DLL con el mismo nombre si se coloca en la misma carpeta que el ejecutable Calc.exe.

Los hackers se aprovechan de esto para que se cargue su propio archivo WindowsCodecs.dll, y este lanza a su vez otro .dll que es el malware QBot. Al instalar QBot a través de un programa de confianza como puede ser la calculadora de Windows, es muy posible que algunos antivirus no detecten el malware cuando este se carga, lo que permite saltarse casi cualquier protección que tenga nuestro equipo. Cabe señalar que esta falla de carga de prueba de DLL ya no funciona en Windows 10 Calc.exe y versiones posteriores, por lo que las amenazas se agrupan en la versión de Windows 7.