【安全资讯】QBot网络钓鱼使用 Windows Calculator 侧载来感染设备

至少从7月11日起，Qbot(又名Qakbot)恶意软件运营商就一直在滥用Windows 7计算器应用程序进行DLL侧加载攻击。Qakbot 的初始感染始于包含各种主题的恶意垃圾邮件活动，在此活动中，垃圾邮件包含一个 HTML 文件，该文件具有 base64 编码图像和一个受密码保护的 ZIP 文件，其中包含一个 ISO 文件。ISO包含一个.LNK文件、一个“calc.exe”副本和两个DLL文件，即 WindowsCodecs.dll 和一个名为7533.dll的有效负载。

当用户执行ISO文件时，会将 ISO 挂载到驱动器并仅向用户显示 .lnk 文件，该文件被伪装成包含重要信息的 PDF 或使用 Microsoft Edge 浏览器打开的文件。但是，快捷方式指向 Windows 中的计算器应用程序。单击快捷方式会通过命令提示符执行 Calc.exe 来触发感染。加载后，Windows 7 计算器会自动搜索并尝试加载合法的 WindowsCodecs DLL文件。Qakbot 执行流程如下：