威脅參與者利用 DLL-SideLoading 傳播 Qakbot 惡意軟件

Qakbot 惡意軟件運營商正在使用 Windows 計算器將惡意負載側載到目標系統上。

安全專家ProxyLife 和 Cyble 研究人員最近發現了一個Qakbot活動，該活動利用 Windows 7 Calculator 應用程序進行 DLL 側載攻擊。動態鏈接庫 (DLL) 旁加載是一種利用 Microsoft Windows 應用程序處理 DLL 文件的方式的攻擊方法。在此類攻擊中，惡意軟件會在 Windows 的 WinSxS 目錄中放置一個偽造的惡意 DLL 文件，以便操作系統加載它而不是合法文件

據研究人員稱，運營商至少從 7 月 11 日開始使用這種技術。

Qakbot也稱為 QBot、QuackBot 和 Pinkslipbot，是一種自 2008 年以來一直活躍的信息竊取惡意軟件。該惡意軟件通過惡意垃圾郵件活動傳播，它在活動電子郵件線程中插入回復。

Cyble 專家從 ProxyLife 共享的 IoC 開始調查，分析了最新的 Qakbot 攻擊中使用的攻擊鏈。

在此活動中，垃圾郵件包含一個 HTML 文件，該文件具有 base64 編碼圖像和一個受密碼保護的 ZIP 文件。受密碼保護的 zip 文件包含一個 ISO 文件（即Report Jul 14 47787.iso），打開它的密碼在 HTML 文件中報告。使用受密碼保護的 zip 文件是威脅行為者逃避檢測的常用技術。

單擊圖像文件后，它會被掛載并顯示一個偽裝成 PDF 文件的 .lnk 文件。如果受害者打開 .lnk 文件，Qakbot 感染過程就會啟動。

ISO 文件包含四個不同的文件：

• .lnk 文件
• 合法的 calc .exe
• WindowsCodecs.dll
• 7533.dll。

.LNK 文件以 PDF 格式顯示，其中包含受害者感興趣的信息。快捷方式指向 Windows 中的計算器應用程序。執行 Windows 7 計算器后，它將自動嘗試加載合法的 WindowsCodecs DLL 文件。如果將代碼與 Calc.exe 可執行文件放在同一文件夾中，該代碼將加載任何同名的 DLL，從而導致執行惡意 DLL。

“在這種情況下，應用程序是 calc.exe，名為 WindowsCodecs.dll 的惡意文件偽裝成 calc.exe 的支持文件。” 閱讀Cyble 發布的分析。“在執行 calc.exe 后，它會進一步加載 WindowsCodec.dll 并使用 regsvr32.exe 執行最終的 Qakbot 有效負載。最終的有效載荷將其惡意代碼注入 explorer.exe 并執行所有惡意??活動。”

威脅參與者捆綁了 Windows 7 版本的 DLL，因為該攻擊不適用于 Windows 10 Calc.exe 及更高版本。

網絡共享 MITRE ATT&CK? 妥協技術和指標 (IoC)。