【安全资讯】攻击者使用DatopLoader部署QakBot 木马

引言

2021年11月8日，研究人员发现了一个钓鱼活动，攻击者使用DatopLoader获得进入受害者网络的初始立足点，最终部署 Qakbot恶意软件。

简况

2021 年 11 月 8 日，研究人员发现一个恶意 excel 文件，这个文件试图执行三个不同的文件，指导用户启用宏，此工作表中包含另外三个隐藏的工作表，三张表中都包含 Excel Macro 4；其中一张工作表包含字母、数字和符号，另外两张疑似负责使用 kerner32.dll!CreateDirectoryA 创建一个新文件夹，从三个不同的域下载三个文件，并将这些文件保存在本地磁盘上的创建文件夹中，并使用 regsvr32.exe 依次执行。创建的文件夹命名为“Datop”。

此样本的交付方案如下图：

DatopLoader（又名 Squirrelwaffle）通过恶意垃圾邮件活动危害受害者，可以为攻击者提供进入系统和受害者网络环境的初始立足点，促进进一步的攻击或部署额外的恶意软件。

最终下载的三个文件都是Qakbot银行木马的 DLL。Qakbot（又名Pinkslipbot、Qbot 和 Quakbot），是一种银行木马，旨在窃取帐户凭据和网上银行会话信息。