软餐获悉,据 Cryptolaemus 成员和网安研究人员 ProxyLife ,QBot 恶意软件最近正利用 Windows 10 写字板(WordPad)的可执行文件 write.exe 中的 DLL 劫持漏洞发起网络钓鱼活动。用户点击钓鱼电子邮件中的下载链接时,会从远程主机获取 ZIP 存档。在存档文件中,存在两个关键组件:document.exe(伪装成 Windows 10 写字板可执行文件)和一个名为 edputil.dll 的 DLL 文件,它可以实现 DLL 劫持。
QBot 最初被认为是一种银行木马,但后来演变成一种多功能的恶意软件植入程序,它已经与 Black Basta、Egregor 和 Prolock 等勒索软件组织合作,针对企业网络展开勒索攻击。
微信扫一扫