QBot 濫用 Win10 寫字板執行文件、劫持 DLL 感染設備

(資料圖)

IT之家 5 月 28 日消息，根據國外科技媒體 BleepingComputer 報道，安全專家和 Cryptolaemus 成員 ProxyLife 發現了新的 QBot 網絡釣魚活動，濫用 Win10 系統中的寫字板可執行文件 write.exe，通過 DLL 劫持漏洞傳播。

QBot，也稱為 Qakbot，是一種 Windows 惡意軟件。QBot 最初作為銀行木馬出現，隨后演變成為惡意軟件投放器。

安全專家目前已經確認 Black Basta，Egregor 和 Prolock 等勒索軟件團伙，使用該惡意軟件，對多家企業網絡發起勒索攻擊。

受害者點擊鏈接之后，會從遠程主機下載一個隨機命名的 ZIP 壓縮文件。該文檔中包含 document.exe 和名為 edputil.dll 的 DLL 文件（用于 DLL 劫持）。

IT之家在此附上截圖，查看 document.exe 屬性，可以看到是合法寫字板文件 Write.exe 的重命名版本。

當 document.exe 啟動時，它會自動嘗試加載一個名為 edputil.dll 的合法 DLL 文件，該文件通常位于 C：\Windows\System32 文件夾中。

當可執行文件嘗試加載 edputil.dll 時，優先會加載同一文件路徑下的問題 edputil.dll 文件。

關鍵詞