【安全资讯】QBot网络钓鱼使用 Windows Calculator 侧载来感染设备

猎影实验室 2022-07-26 11:03:03 309人浏览

至少从7月11日起,Qbot(又名Qakbot)恶意软件运营商就一直在滥用Windows 7计算器应用程序进行DLL侧加载攻击。Qakbot 的初始感染始于包含各种主题的恶意垃圾邮件活动,在此活动中,垃圾邮件包含一个 HTML 文件,该文件具有 base64 编码图像和一个受密码保护的 ZIP 文件,其中包含一个 ISO 文件。ISO包含一个.LNK文件、一个“calc.exe”副本和两个DLL文件,即 WindowsCodecs.dll 和一个名为7533.dll的有效负载。

 

当用户执行ISO文件时,会将 ISO 挂载到驱动器并仅向用户显示 .lnk 文件,该文件被伪装成包含重要信息的 PDF 或使用 Microsoft Edge 浏览器打开的文件。但是,快捷方式指向 Windows 中的计算器应用程序。单击快捷方式会通过命令提示符执行 Calc.exe 来触发感染。加载后,Windows 7 计算器会自动搜索并尝试加载合法的 WindowsCodecs DLL文件。Qakbot 执行流程如下:

失陷指标(IOC)15
钓鱼攻击 QBot
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。