QBot恶意软件,一种银行木马,近期通过网络钓鱼电子邮件活动针对多国用户,特别是德国、阿根廷等。此恶意软件能窃取密码、注入其他payload,且采用反检测技术逃避捕获。攻击者使用伪装的PDF和混淆的WSF脚本下载DLL文件进行传播。同时,ElasticSecurityLabs还发现了利用MicrosoftWord文档分发AgentTesla和XWorm的类似活动。
热点事件概括
近日,卡巴斯基的最新发现显示,一个新的QBot恶意软件正在利用被劫持的商业电子邮件,分发恶意软件。
最开始发现该恶意活动是在2023年4月4日,主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄罗斯、法国、英国和摩洛哥的用户。
QBot(又名Qakbot或Pinkslipbot)是一个银行木马,从2007年开始活跃。除了从网络浏览器中窃取密码和cookies,它还作为后门注入有效载荷,如Cobalt Strike或勒索软件。
该恶意软件通过网络钓鱼活动传播,并不断更新,通过加入反虚拟机、反调试和反沙盒技术以逃避检测。正因为这样,它也成为2023年3月最流行的恶意软件。
卡巴斯基研究人员解释,早期,QBot的传播方式是通过受感染的网站和盗版软件传播的。现在则是通过银行木马已经驻留在其计算机上的恶意软件,社交工程和垃圾邮件传递给潜在的受害者。
电子邮件网络钓鱼攻击并不新鲜。其目的是诱使受害者打开恶意链接或恶意附件,一般情况下,这些文件被伪装成一个微软Office 365或微软Azure警报的封闭式PDF文件。
打开该文件后,就会从一个受感染的网站上检索到一个存档文件,该文件又包含了一个混淆的Windows脚本文件(.WSF)。该脚本包含一个PowerShell脚本,从远程服务器下载恶意的DLL。下载的DLL就是QBot恶意软件。
调查结果发布之际,Elastic Security Labs还发现了一个多阶段的社会工程活动,该活动使用武器化的Microsoft Word文档通过自定义方式分发Agent Tesla和XWorm。基于 NET 的加载程序。
如何应对
要让电子产品,网络服务能够更好的帮助我们,不被病毒侵害。信息得到有效安全的保护。
除了国家和社会、软件制造商们需要努力,作为用户的我们也应该思考,我们要如何在信息时代、数据时代应对这些危机、保护自己信息和财产的安全呢?
必要的网络安全知识变成了新时代的人们需要掌握的知识。
技多不压身。活到老,学到老!
分享自用资料,0米抱走
给大家分享一份【网络安全】全套学习资料,视频、源码,课件,希望对你有所帮助。
需要资料的小伙伴扫下方领取!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
