最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

QBot网络钓鱼滥用Windows控制面板EXE感染设备

网络安全 快米云 来源:快米云 49浏览

QBot

分发 QBot 恶意软件的网络钓鱼电子邮件利用 Windows 10 控制面板中的 DLL 劫持漏洞来感染计算机,可能是为了逃避安全软件的检测。

DLL 劫持是一种常见的攻击方法,它利用了动态链接库 (DLL) 在 Windows 中的加载方式。

启动 Windows 可执行文件时,它将在 Windows 搜索路径中搜索任何 DLL 依赖项。但是,如果威胁参与者使用与程序所需 DLL 之一同名的名称创建恶意 DLL,并将其存储在与可执行文件相同的文件夹中,则该程序将改为加载该恶意 DLL 并感染计算机。

QBot,也称为 Qakbot,是一种 Windows 恶意软件,最初是银行木马,后来演变成一个功能齐全的恶意软件植入程序。勒索软件团伙,包括 Black Basta、  Egregor和 Prolock,也使用恶意软件获得对公司网络的初始访问权限。

7 月,安全研究员 ProxyLife 发现威胁行为者正在利用 Windows 7 计算器中的 DLL 劫持漏洞 来安装 QBot 恶意软件。

本周,ProxyLife 告诉 BleepingComputer,攻击者已经转而使用 Windows 10 控制面板可执行文件 control.exe 中的 DLL 劫持漏洞。

滥用 Windows 控制面板

在 ProxyLife 看到的网络钓鱼活动中,威胁行为者使用窃取的回复链电子邮件分发 HTML 文件附件,下载受密码保护的 ZIP 存档,其中包含 ISO 文件。

新活动中的 QBot 网络钓鱼电子邮件
新活动中的 QBot 网络钓鱼电子邮件
来源:news.zzqidc.com

HTML 文件的名称类似于“RNP_[number]_[number].html”,它显示了一个伪装成 Google Drive 的图像和自动下载的 ZIP 存档的密码,如下所示。

QBot 垃圾邮件中的 HTML 附件
QBot 垃圾邮件中的 HTML 附件
来源:news.zzqidc.com

此 ZIP 存档包含一个 ISO 磁盘映像,双击该映像将在 Windows 10 及更高版本中自动在新的驱动器号中打开。

此 ISO 文件包含一个 Windows 快捷方式 (.LNK) 文件、一个 “control.exe”  (Windows 10 控制面板)可执行文件以及两个名为 edputil.dll  (用于 DLL 劫持)和 msoffice32.dll (QBot 恶意软件)的 DLL 文件。

ISO 映像的内容
ISO镜像内容
来源:news.zzqidc.com

包含在 ISO 中的 Windows 快捷方式 (.LNK) 使用一个图标,试图让它看起来像一个文件夹。

然而,当用户试图打开这个假文件夹时,快捷方式会启动 Windows 10 控制面板可执行文件 control.exe,它存储在 ISO 文件中,如下所示。

触发 QBot 感染的 Windows 快捷方式
触发 QBot 感染的 Windows 快捷方式
来源:news.zzqidc.com

当 control.exe 启动时,它会自动尝试加载位于 C:\Windows\System32 文件夹中的合法 edputil.dll DLL。但是,它不会检查特定文件夹中的 DLL,如果与 control.exe 可执行文件放在同一文件夹中,它将加载任何同名的 DLL。

由于威胁参与者将恶意 edputil.dll DLL 捆绑在与 control.exe 相同的文件夹中,因此将加载该恶意 DLL。

加载后,恶意 edputil.dll DLL 会使用 regsvr32.exe msoffice32.dll 命令用 QBot 恶意软件 ( msoffice32.dll ) 感染设备。

通过 Windows 10 控制面板等受信任程序安装 QBot,安全软件可能不会将恶意软件标记为恶意软件,从而使其逃避检测。

QBot 现在将在后台安静地运行,窃取电子邮件用于网络钓鱼攻击并下载额外的有效负载,例如 Brute Ratel 或 Cobalt Strike。

Brute Ratel 和 Cobalt Strike 是威胁行为者用来远程访问公司网络的开发后工具包。

这种远程访问通常会导致企业数据被盗和勒索软件攻击。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » QBot网络钓鱼滥用Windows控制面板EXE感染设备