由 Qakbot 黑客组织领导的网络钓鱼活动使用同名恶意软件通过受害者的电子邮件收件箱进行传播。
Sophos 安全研究人员发现了一个利用名为 Qakbot 的恶意软件。他们发送包含附件的电子邮件。后者是一种格式的文件。一,这会导致消息的接收者相信他们的一位熟人想要分享文档 OneNote。单击附件后,就会出现 OneNote 页面。它指出:“本文档包含来自云端的附件。要接收它们,请双击“打开”。如果你点击这个按钮,麻烦就开始了。
这样执行的 HTML 应用程序将从远程服务器下载恶意 Qakbot 代码并在受害者的计算机上执行。为了不被防病毒软件注意到,导入的文件伪装成图像(例如,png 或 gif 格式)。这些实际上是旨在执行恶意脚本的 DLL感染Windows系统应用程序。
Qakbot 将自身插入电子邮件对话中并以这种方式“复制”自身
Sophos 指出:“如果您不确定 [...]花时间给发件人打电话或发消息并确保他确实把文件发给了你。”这是永远不被感染的最好方法,但不幸的是这并不总是足够的。 Qakbot 能够将消息插入现有对话线程中。研究人员很容易认识到这一点,他非常擅长引用以前的帖子并引起混乱参与者之中。
使用 OneNote 文件感染 Windows 计算机似乎是一项非常新的技术,因为 Sophos 估计该活动于 2023 年 1 月 31 日开始。如果感染媒介 Qakbot 已知,该公司不会提供有关该黑客组织滥用行为性质的更多详细信息。他们的恶意软件可用于窃取用户数据,或占有一台电脑并将其集成到僵尸网络中。
来源 :科技雷达
