新的QBot活动劫持商业邮件

卡巴斯基研究人员警告称，一项新的QBot活动利用被劫持的企业电子邮件来传播恶意软件。

4 月初，卡巴斯基专家观察到QBot恶意软件攻击（又名Qakbot、QuackBot 和Pinkslipbot）的攻击激增。QBot自2008年以来一直活跃，它被威胁行为者用来从受害者那里收集浏览数据和银行凭证以及其他财务信息。

其模块化结构允许运营商实施新功能以扩展其能力。

Qbot恶意软件行动过去与其他勒索软件团伙有过多次合作，包括ProLock、Egregor、DoppelPaymer和MegaCortex。

卡巴斯基观察到的活动背后的威胁行为者使用不同语言编写的电子邮件，包括英语、德语、意大利语和法语。

恶意代码劫持受害者的​​电子邮件并将其自身作为对现有电子邮件线程的回复发送出去。

这些消息会敦促收件人打开随附的PDF文件。例如，攻击者可以通过要求收件人提供与附加应用程序相关的文档或根据附加的成本估算来计算合同价值来试图诱骗收件人打开文件。在最近的活动中，随附的PDF文件伪装成Microsoft Office 365或Microsoft Azure警报。

“QBot恶意软件交付方案从一封电子邮件开始，附件中包含一个PDF文件。该文档的内容模仿Microsoft Office 365或Microsoft Azure警报，建议用户单击打开以查看附件。”“如果用户遵守，将从远程服务器（受感染的站点）下载档案，并使用原始 PDF 文件中提供的密码进行保护。”

打开附件后，它将从受感染的网站检索存档。该存档包含一个混淆的Windows脚本文件(.WSF)，其中包含一个混淆的JScript。

一旦WSF文件被反混淆，它就会包含一个编码为Base64行的PowerShell脚本，该脚本从远程服务器下载恶意DLL，即 QBot 恶意软件。

“根据我们的数据，第一批带有恶意PDF附件的信件于4月4日晚上开始到达。群发电子邮件活动于次日中午12:00开始，一直持续到晚上9:00，在此期间我们总共检测到大约1,000个字母。第二次高潮是在4月6日中午开始的，这次向我们的客户发送了1,500多封信。在接下来的几天里，新消息源源不断，很快，在4月12日晚上，我们又发现了另一波高潮，向我们的客户发送了2,000多封信件。” 

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5591.html