IT之家5月28日消息,根据国外科技媒体BleepingComputer报道,安全专家和Cryptolaemus成员ProxyLife发现了新的QBot网络钓鱼活动,滥用Win10系统中的写字板可执行文件write.exe,通过DLL劫持漏洞传播。
QBot,也称为Qakbot,是一种Windows恶意软件。QBot最初作为银行木马出现,随后演变成为恶意软件投放器。
安全专家目前已经确认BlackBasta,Egregor和Prolock等勒索软件团伙,使用该恶意软件,对多家企业网络发起勒索攻击。
受害者点击链接之后,会从远程主机下载一个随机命名的ZIP压缩文件。该文档中包含document.exe和名为edputil.dll的DLL文件(用于DLL劫持)。
IT之家在此附上截图,查看document.exe属性,可以看到是合法写字板文件Write.exe的重命名版本。
当document.exe启动时,它会自动尝试加载一个名为edputil.dll的合法DLL文件,该文件通常位于C:\Windows\System32文件夹中。
当可执行文件尝试加载edputil.dll时,优先会加载同一文件路径下的问题edputil.dll文件。
