Qbot 僵尸网络现在通过网络钓鱼电子邮件推送恶意软件负载,其中包含受密码保护的 ZIP 存档附件,其中包含恶意 MSI Windows 安装程序包。
这是 Qbot 运营商第一次使用这种策略,从标准的恶意软件传递方式转变为通过网络钓鱼电子邮件在目标设备上放置带有恶意宏的 Microsoft Office 文档。
安全研究人员怀疑,此举可能是对微软 在 1 月份默认禁用 Excel 4.0 (XLM) 宏 后于 2 月份 宣布计划通过 VBA Office 宏终止恶意软件传递的直接反应 。
Microsoft 已于 2022 年 4 月上旬开始向 Office for Windows 用户推出 VBA 宏自动阻止功能,从当前频道(预览版)中的版本 2203 开始,以及稍后的其他发布频道和旧版本。
“尽管攻击者使用不同的电子邮件方法来传递 Qakbot,但这些活动的共同点是在 Office 文档中使用恶意宏,特别是 Excel 4.0 宏,”微软在 12 月表示。
“应该注意的是,虽然威胁使用 Excel 4.0 宏作为逃避检测的尝试,但现在默认情况下禁用此功能,因此需要用户手动启用它才能使此类威胁正确执行。”
这是对保护 Office 客户的重大安全改进,因为使用嵌入在 Office 文档中的恶意 VBA 宏是 在网络钓鱼攻击(包括 Qbot、 Emotet、 TrickBot和 Dridex )中推送大量恶意软件的流行方法。
Qbot是什么?
Qbot (也称为 Qakbot、 Quakbot和 Pinkslipbot)是一种模块化的 Windows 银行木马,具有蠕虫功能,至少从 2007 年开始就被用于窃取银行凭证、个人信息和财务数据,以及在受感染的计算机上放置后门并部署 Cobalt打击信标。
该恶意软件还以使用网络共享漏洞和针对 Active Directory 管理员帐户的高度激进的暴力攻击来感染受感染网络上的其他设备而闻名 。
尽管活跃了十多年,但 Qbot 恶意软件主要用于针对企业实体的高度针对性攻击,因为它们提供了更高的投资回报。
包括 REvil、Egregor、ProLock、PwndLocker 和 MegaCortex 在内的多个勒索软件团伙也使用 Qbot 入侵企业网络。
由于 Qbot 感染可能导致危险的感染和高度破坏性的攻击,IT 管理员和安全专业人员需要熟悉这种恶意软件、它用于在整个网络中传播的策略,以及僵尸网络运营商用来将其传递给新目标的策略。
微软 2021 年 12 月的一份报告捕捉到 了 Qbot 攻击的多功能性,这使得准确评估其感染范围变得更加困难。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
