QBot使用Windows计算器侧载恶意dll文件感染设备

2022-07-31|

QBot 恶意软件一直在使用Windows计算器将恶意dll文件侧载到受感染的计算机上。

DLL侧载是一种常见的攻击方法,它利用了Windows处理动态链接库 (DLL) 的方式。将恶意DLL放置在操作系统加载它的文件夹中,由正常的Windows计算器应用加载。

QBot,也称为Qakbot,是一种Windows恶意软件,最初是一种银行木马,后来演变为众多恶意软件下载器,常被勒索软件团伙用来投放Cobalt Strike信标。

安全研究人员ProxyLife发现,至少从7月11日起,Qakbot就在滥用Windows7计算器应用程序进行DLL侧载攻击,攻击者通过钓鱼邮件投放。

最新的攻击活动使用电子邮件,附件含有一个HTML文件,查看HTML文件会显示打开文档的密码,将文件加密后投放可以逃避防病毒软件检测。

在投放的ISO文件中包含一个 .LNK文件、“calc.exe”(Windows 7计算器)和两个DLL文件,即 WindowsCodecs.dll 和一个名为7533.dll的恶意负载。

在新版Windows中,当用户双击ISO文件时,操作系统会自动将其装载到虚拟光驱。——这也是攻击者越来越多使用ISO文件投放恶意载荷的原因,之后受害者就极可能双击已加载到虚拟光驱中的恶意程序。

在本例中,双击.lnk快捷方式文件会启动Windows 7计算器。Windows 7计算器启动时会自动搜索并尝试加载合法的WindowsCodecs.DLL文件。但该程序不会检查硬编码路径中的DLL,如果与Calc.exe可执行文件在同一文件夹中,计算器将加载具有相同名称的任何DLL文件。

QBot恶意软件因此成功启动,通过Windows计算器等受信任的程序安装QBot,可以逃避某些安全软件的检测。

DLL侧载漏洞不再适用于Windows 10以后的计算器(calc.exe),这就是攻击者捆绑Windows 7版本的原因。

QBot已经存在十多年,研究人员观察到Emotet 僵尸网络曾经分发它,并最终投递勒索软件。QBot曾投放包括RansomExx、Maze、ProLock、Egregor、Black Basta等勒索软件家族。

参考链接:bleepingcomputer.com


标签: 文件 计算器 Windows 恶意 投放 dll 软件 攻击者 加载 QBot
出处: https://www.toutiao.com/article/7124570837113586208/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护