Qakbot恶意软件利用Windows 7计算器进行攻击

重点信息

• Qakbot恶意软件因滥用Windows 7计算器应用程序进行DLL侧载攻击而被发现。
• 此攻击自2022年7月11日以来已被利用，潜在影响包括财务欺诈和身份盗用。
• 需要加强用户教育，以避免点击可疑附件，保护系统安全。

根据Cyble研究实验室的报告，Qakbot恶意软件被发现正在利用Windows7计算器应用程序进行攻击。此消息源自一位研究员在Twitter上发布的帖子，分享了与Qakbot恶意软件相关的新指标（IOCs）。

此帖中的威胁研究者ProxyLife表示，自至少2022年7月11日起，Qakbot就开始滥用Windows 7计算器实施DLL侧载攻击。

在Cyble研究实验室的博客文章中，研究人员解释了Qakbot借助大规模垃圾邮件活动窃取受害者系统中的凭证，并利用这些凭证获利。除了经济损失，这些攻击还可能导致任何Qakbot恶意软件受害者遭遇欺诈和身份盗用。

Qakbot作为一种Windows恶意软件，最初是一种银行特洛伊木马，但后来演变为恶意软件投放工具。研究人员指出，这种恶意软件常常被勒索软件团伙在攻击初期使用，以投放信标。

DLL侧载绕过端点保护已经是一种使用多年的技术，Vulcan Cyber的高级技术工程师MikeParkin表示。这次QBot恶意软件活动的一个显著特点是，第一阶段是网络钓鱼攻击，第二阶段则依赖于Windows7计算器应用程序。Parkin强调，这表明用户教育的重要性。

“虽然优秀的反钓鱼、反垃圾邮件和恶意软件工具能够降低风险，但关键还是在于用户需明确何时不打开附件，”Parkin表示。“此次攻击不仅依赖用户打开附件，还依赖他们使用提供的密码进行解密，这实际上是用户应该更清楚不该这么做的。不幸的是，他们并没有做到，这正是问题所在。而第二部分则依赖于Windows
7版本的计算器，因为Windows 10版本没有漏洞。鉴于Windows 7在两年半前已结束生命周期，这突显了淘汰过时操作系统和应用程序的必要性。”

Gurucul的创始人兼首席执行官SaryuNayyar补充道，恶意威胁者仍在利用电子邮件攻击引发初步的系统妥协，从而执行其攻击活动的核心。一旦用户意外点击链接，完整的恶意软件便会被执行，这也为像CobaltStrike这样的知名工具打开了系统。

“现实情况是，QBot恶意软件因伪装成合法的.DLL而未被许多当前的SIEM和XDR工具检测到，” Nayyar说。“然而，QBot和Cobalt
Strike并不是新工具。这表明组织需要投资于更好的安全分析，包括成熟的行为分析，以检测异常活动，而不仅仅是已被修改的新变种攻击。”