QBot 木马升级为勒索工具,滥用 Win10 写字板可执行文件、劫持 DLL 感染设备

2023-05-28 20:18IT之家 - 故渊

IT之家 5 月 28 日消息,根据国外科技媒体 BleepingComputer 报道,安全专家和 Cryptolaemus 成员 ProxyLife 发现了新的 QBot 网络钓鱼活动,滥用 Win10 系统中的写字板可执行文件 write.exe,通过 DLL 劫持漏洞传播。

QBot,也称为 Qakbot,是一种 Windows 恶意软件。QBot 最初作为银行木马出现,随后演变成为恶意软件投放器。

安全专家目前已经确认 Black Basta,Egregor 和 Prolock 等勒索软件团伙,使用该恶意软件,对多家企业网络发起勒索攻击。

受害者点击链接之后,会从远程主机下载一个随机命名的 ZIP 压缩文件。该文档中包含 document.exe 和名为 edputil.dll 的 DLL 文件(用于 DLL 劫持)。

IT之家在此附上截图,查看 document.exe  属性,可以看到是合法写字板文件 Write.exe 的重命名版本。

当 document.exe 启动时,它会自动尝试加载一个名为 edputil.dll 的合法 DLL 文件,该文件通常位于 C:\Windows\System32 文件夹中。

当可执行文件尝试加载 edputil.dll 时,优先会加载同一文件路径下的问题 edputil.dll 文件。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      请登录后查看评论
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享