🔴 W jaki sposób uruchomienie zwykłego kalkulatora Windows może czasem prowadzić do infekcji komputera? [kampania rosyjskich rządowych hackerów celująca w polskie instytucje]

Zobaczcie na tę relację od CERT Polska. Jako atakujących wskazano APT28/GRU. Zaczyna się od niby przypadkowego maila kierowanego do ofiary:

Jak widzicie W treści maila pojawia się link (niby ze szczegółami), prowadzący do popularnego serwisu (webhook.site), który tylko przekierowuje do innego serwisu, a który finalnie serwuje plik zip

Po co takie przekierowanie? Ano po to, żeby systemy wykrywające podejrzane linki nie wykryły tego jako fraud („przecież link prowadzi do znanego serwisu”)

Co jest w pliku zip? Wygląda to jak plik .jpg ale po bliższym przyjrzeniu się jest to aplikacja (plik exe):

Co robi ten plik exe? To windowsowy kalkulator (czyli nic złośliwego). Rosyjscy hackerzy odpalają więc kalkulator? Niby tak, ale nie tylko kalkulator. Otóż w zipie znajdują się jeszcze dwa ukryte pliki – WindowsCodecs.dll oraz drugi plik – z rozszerzeniem .bat

Teraz przechodzimy do istoty tricku z kalkulatorem. W trakcie normalnego działania, windowsowy kalkulator szuka w aktualnym folderze pliku WindowsCodecs.dll i jeśli go znajduje, jest on ładowany (technika DLL side-loading – szerzej o niej pisaliśmy tutaj). Złośliwy DLL ma za zadanie odpalić plik .bat

Po co takie zamieszanie? Ano żeby zmylić systemy antywirusowe/antymalware

Dalej dla niepoznaki w przeglądarce wyświetlane jest zdjęcie kobiety w stroju kąpielowym + linki do (prawdziwych) kont na socjalach. Jednocześnie w tle odpalany jest skrypt, który listuje pliki w wybranych katalogach, a informację tę – wraz z adresem IP ofiary – wysyła do serwera atakujących. Dla części ofiar skrypt może realizować bardziej złośliwe operacje (w szczególności np. przejęcie dostępu do komputera).

✅ O akcji ostrzega CERT Polska, gdzie znajdziecie też rekomendacje ochrony.

~ms