QBot 电脑恶意软件一直在使用Windows计算器将恶意dll文件侧载到受感染的计算机上。
DLL侧载是一种常见的攻击方法,它利用了Windows处理动态链接库 (DLL) 的方式。将恶意DLL放置在操作系统加载它的文件夹中,由正常的Windows计算器应用加载。
QBot,也称为Qakbot,是一种Windows恶意软件,最初是一种银行木马,后来演变为众多恶意软件下载器,常被勒索软件团伙用来投放Cobalt Strike信标。
安全研究人员ProxyLife发现,至少从7月11日起,Qakbot就在滥用Windows7计算器应用程序进行DLL侧载攻击,攻击者通过钓鱼邮件投放。
最新的攻击活动使用电子邮件,附件含有一个HTML文件,查看HTML文件会显示打开文档的密码,将文件加密后投放可以逃避防病毒软件检测。
在投放的ISO文件中包含一个 .LNK文件、“calc.exe”(Windows 7计算器)和两个DLL文件,即 WindowsCodecs.dll 和一个名为7533.dll的恶意负载。
在新版Windows中,当用户双击ISO文件时,操作系统会自动将其装载到虚拟光驱。——这也是攻击者越来越多使用ISO文件投放恶意载荷的原因,之后受害者就极可能双击已加载到虚拟光驱中的恶意程序。
在本例中,双击.lnk快捷方式文件会启动Windows 7计算器。Windows 7计算器启动时会自动搜索并尝试加载合法的WindowsCodecs.DLL文件。但该程序不会检查硬编码路径中的DLL,如果与Calc.exe可执行文件在同一文件夹中,计算器将加载具有相同名称的任何DLL文件。
QBot恶意软件因此成功启动,通过Windows计算器等受信任的程序安装QBot,可以逃避某些安全软件的检测。
DLL侧载漏洞不再适用于Windows 10以后的计算器(calc.exe),这就是攻击者捆绑Windows 7版本的原因。
QBot已经存在十多年,研究人员观察到Emotet 僵尸网络曾经分发它,并最终投递勒索软件。QBot曾投放包括RansomExx、Maze、ProLock、Egregor、Black Basta等勒索软件家族。
参考链接:bleepingcomputer.com
电脑
