根据BleepingComputer的报道,最近QBot恶意软件又称为Qakbot的网络钓鱼攻击中,利用了Windows 10 WordPad可执行文件“writeexe”的DLL劫持漏洞。据Cryptolaemus成员和安全研究者ProxyLife所述,该恶意活动发送的钓鱼邮件包含用于下载文件的链接,点击后将下载一个随机命名的ZIP文件,其中包含WordPad可执行文件“documentexe”和用于DLL劫持的“edputildll”文件。
运行“documentexe”将触发合法的“edputildll”文件加载,但同名的任何DLL都可能被加载,从而实现DLL劫持。在下载伪装成PNG文件的DLL后,QBot将能够窃取邮箱并进一步部署恶性代码。ProxyLife表示,虽然利用Windows 10 WordPad安装QBot有助于逃避安全软件的检测,但使用curlexe进行攻击意味着仅限于在Windows 10及更高版本运行的机器。
攻击特征描述恶意软件QBotQakbot钓鱼邮件包含下载链接DLL劫持漏洞利用“writeexe”和“edputildll”受影响系统Windows 10及更高版本为了保护个人和企业,建议用户对未知邮件保持高度警惕,并确保系统和安全软件及时更新。
轻蜂加速器免费
