分发 QBot 恶意软件的网络钓鱼电子邮件利用 Windows 10 控制面板中的 DLL 劫持漏洞来感染计算机,可能是为了逃避安全软件的检测。
DLL 劫持是一种常见的攻击方法,它利用了动态链接库 (DLL) 在 Windows 中的加载方式。
启动 Windows 可执行文件时,它将在 Windows 搜索路径中搜索任何 DLL 依赖项。但是,如果攻击者使用与程序所需 DLL 之一同名的名称创建恶意 DLL,并将其存储在与可执行文件相同的文件夹中,则该程序将改为加载该恶意 DLL 并感染计算机。
QBot,也称为 Qakbot,是一种 Windows 恶意软件,最初是银行木马,后来演变成一个功能齐全的恶意软件植入程序。勒索软件团伙,包括 Black Basta、 Egregor和 Prolock,也使用恶意软件获得对公司网络的初始访问权限。
7 月,安全研究员 ProxyLife 发现攻击者正在利用 Windows 7 计算器中的 DLL 劫持漏洞 来安装 QBot 恶意软件。
本周,ProxyLife 告诉 BleepingComputer,攻击者已经转而使用 Windows 10 控制面板可执行文件 control.exe 中的 DLL 劫持漏洞。
攻击者使用窃取的回复链电子邮件分发 HTML 文件附件,下载受密码保护的 ZIP 存档,其中包含 ISO 文件。
新活动中的 QBot 网络钓鱼电子邮件,来源:BleepingComputer
HTML 文件的名称类似于“RNP_[number]_[number].html”,它显示了一个伪装成 Google Drive 的图像和自动下载的 ZIP 存档的密码,如下所示。
QBot 垃圾邮件中的 HTML 附件,来源:BleepingComputer
此 ZIP 存档包含一个 ISO 磁盘映像,双击该映像将在 Windows 10 及更高版本中自动在新的驱动器号中打开。
此 ISO 文件包含一个 Windows 快捷方式 (.LNK) 文件、一个 “control.exe” (Windows 10 控制面板)可执行文件以及两个名为 edputil.dll (用于 DLL 劫持)和 msoffice32.dll (QBot 恶意软件)的 DLL 文件。
ISO镜像内容,来源:BleepingComputer
包含在 ISO 中的 Windows 快捷方式 (.LNK) 使用一个图标,试图让它看起来像一个文件夹。
然而,当用户试图打开这个假文件夹时,快捷方式会启动 Windows 10 控制面板可执行文件 control.exe,它存储在 ISO 文件中,如下所示。
触发 QBot 感染的 Windows 快捷方式,来源:BleepingComputer
当 control.exe 启动时,它会自动尝试加载位于 C:\Windows\System32 文件夹中的合法 edputil.dll DLL。但是,它不会检查特定文件夹中的 DLL,如果与 control.exe 可执行文件放在同一文件夹中,它将加载任何同名的 DLL。
由于攻击者将恶意 edputil.dll DLL 捆绑在与 control.exe 相同的文件夹中,因此将加载该恶意 DLL。
加载后,恶意 edputil.dll DLL 会使用 regsvr32.exe msoffice32.dll 命令用 QBot 恶意软件 ( msoffice32.dll ) 感染设备。
通过 Windows 10 控制面板等受信任程序安装 QBot,安全软件可能不会将恶意软件标记为恶意软件,从而使其逃避检测。
QBot 现在将在后台安静地运行,窃取电子邮件用于网络钓鱼攻击并下载额外的有效负载,例如 Brute Ratel 或 Cobalt Strike。
Brute Ratel 和 Cobalt Strike 是攻击者用来远程访问目标网络常用的攻击框架。这种远程访问通常会导致企业数据被盗和勒索软件攻击。