Malware infecta ordenadores desde la calculadora de Windows

27/07/2022

Más Noticias de Ciberseguridad

El malware QBot tiene una nueva forma de infectar los equipos: ha estado utilizando, desde al menos el 11 de julio, la calculadora de Windows (Windows Calculator) para
acceder a los ordenadores que utilizan dicho
sistema operativo en la versión 7.

QBot, también conocido como Qakbot, es una variante de
malware para Windows que comenzó como troyano bancario pero evolucionó hasta convertirse en un dropper de malware.

Calculadora Windows malware

Cuando se infiltra en el sistema, puede obtener
acceso a información financiera del usuario, así como a algunos detalles confidenciales como la contraseña y la dirección de correo electrónico.

Además, según recientes investigaciones, este malware está siendo utilizado también en las
primeras fases de ataques ransomware.

Cómo infecta Qbot los equipos a través de la calculadora de Windows

Mediante
correos electrónicos que incluyen un archivo HTML adjunto que descarga un archivo ZIP protegido por contraseña con un archivo ISO en su interior.

La contraseña para abrir el archivo ZIP se muestra en el archivo HTML y la razón para bloquear el archivo es
evadir la detección del antivirus.

La ISO contiene un archivo .LNK, una copia de 'calc.exe' (calculadora de Windows), y dos archivos DLL (WindowsCodecs.dll y un payload llamado 7533.dll). Cuando el usuario monta el archivo ISO, solo se muestra el archivo .LNK que se hace pasar por un PDF o un archivo que se abre con el navegador Microsoft Edge.

Sin embargo, el acceso directo apunta a la aplicación Calculadora en Windows. Al hacer clic en dicho acceso directo es cuando se desencadena la infección ejecutando el Calc.exe.

Al ejecutarse, la calculadora de Windows 7 intenta cargar el archivo legítimo WindowsCodecs DLL. Sin embargo, cargará cualquier DLL con el mismo nombre si éste se encuentra en la misma carpeta que el ejecutable Calc.exe.

Al instalarse QBot a través de un programa de confianza como la calculadora de Windows, algunos programas de seguridad pueden no detectar el malware cuando se carga, lo que
permite a la amenaza evadir los antivirus.

Lo bueno es que este malware concreto
no funciona en Windows 10 y posteriores.



Consejos de ciberseguridad:

Aparte de nuestro completo
servicio profesional de recuperación de datos de todo tipo de soportes informáticos, en RecuperaData podemos facilitar las siguientes protecciones de seguridad a aquellos clientes que lo necesiten ☺:

-
Antivirus: tener un antivirus habilitado, actualizado y correctamente configurado ayuda a protegerse no solamente frente a ataques de ransomware, sino también ante otro tipos de virus, programas espía, malware, etc.

-
Autentificación de doble factor: resulta de gran interés contar con una capa de seguridad extra en el proceso de inicio de sesión de las cuentas y servicios de Internet de la empresa haciendo que sea necesario verificar mediante 2 criterios diferentes la titularidad o permiso para acceder.

-
Backup en la nube para Office 365: mediante este servicio profesional, ofrecemos tanto la copia de seguridad de las cuentas de correo electrónico como de todo el contenido de OneDrive.

-
Espacio de almacenamiento en la nube: resulta imprescindible disponer de un completo, seguro y eficiente espacio de almacenamiento en el que hacer backup en la nube que se compruebe periódicamente para verificar que las copias se están haciendo correctamente y que sabremos cómo restaurar la información en caso de necesidad.

-
VPN: hoy en día es muy importante contar con una VPN que permita acceder de modo seguro a la red interna de la empresa desde cualquier lugar del mundo por ejemplo para teletrabajar como si estuviésemos físicamente en la empresa.

-
Copias de seguridad Enterprise en la nube con Veeam: copias de seguridad protegidas de todo tipo de amenazas cibernéticas y con protección total frente a los ataques ransomware.

-
Firewall: es muy recomendable contar con un sistema cuya función es prevenir y proteger nuestra red privada de intrusiones o ataques bloqueándoles el acceso.

-
Backup local desconectable: una vez realizada la copia de seguridad, de modo automático y sin necesidad de intervención de los usuarios, el dispositivo de backup se desconectará automáticamente del sistema, quedando así fuera del alcance de cualquier ataque ransomware, intrusión, boicot, etc.

-
Almacenamiento en frío: servicio de backup creado para ofrecer grandes capacidades de almacenamiento a los precios más bajos posibles, perfecto para empresas que necesitan almacenar grandes cantidades de información y no necesitan acceder instantáneamente a los datos almacenados en la copia de seguridad.

Os recordamos que ante una pérdida de datos de cualquier tipo de dispositivo informático (disco duro, RAID, NAS, disco SSD, tarjeta de memoria, pendrive, SSD M.2, smartphone (teléfono móvil), etc.) y provocada por cualquier motivo, siempre podéis poneros en contacto con nosotros con total tranquilidad y sin compromiso:

- Telefónicamente en el 944 467 254 de lunes a viernes en horario de 9 a 17h.
- Rellenando cualquiera de los
formularios de contacto de esta web.
Os aconsejaremos sobre cómo proceder y os informaremos de la mejor opción para vuestro caso.


#ciberseguridad #recuperardatos #recuperacióndedatos #RecuperaData


Ver otras
Noticias de Ciberseguridad