新的 Qakbot 恶意软件将 Windows Calculator DLL 替换为受感染的 PC

安全研究人员已经确定了 Qakbot 恶意软件的新危害指标，该恶意软件现在使用一种新的 DLL 侧载感染技术，旨在欺骗官方应用程序使用恶意 DLL 文件。

威胁永远不会保持不变，黑客总是希望改进他们的恶意软件以保持领先于安全解决方案。不断发展的恶意软件可能会改变攻击媒介或改进现有的攻击媒介。无论如何，这是恶意软件家族存在的主要原因。

Qakbot 也是如此，这是一种恶意软件，以其在大型垃圾邮件活动中的作用而闻名。它的内部工作已经得到了很好的记录，但看起来它的开发人员已经做了一些改变。当安全研究人员proxylife和 Cyble 仔细研究了携带这种恶意软件的最新垃圾邮件活动之一时，他们注意到了一些新的东西。

https://bazaar.abuse.ch/sample/cb83a65a625a69bbae22d7dd87686dc2be8bd8a1f8bb40e318e20bc2a6c32a8e/

“在这次活动中，垃圾邮件包含一个受密码保护的 zip 文件，其中包含一个 ISO 文件，”研究人员解释说。“安装后，此 ISO 文件显示伪装成 PDF 文件的 .lnk 文件。如果受害者打开 .lnk 文件，系统就会感染 Qakbot 恶意软件。”

该恶意软件使用 DLL sideloading，这种技术让攻击者可以欺骗应用程序加载与合法文件同名的恶意 .dll 文件。

“在这种情况下，应用程序是 calc.exe，名为 WindowsCodecs.dll 的恶意文件伪装成 calc.exe 的支持文件，”研究人员解释说。

“在执行 calc.exe 后，它会进一步加载 WindowsCodec.dll 并使用 regsvr32.exe 执行最终的 Qakbot 有效负载。最终的有效载荷将其恶意代码注入 explorer.exe 并执行所有恶意活动。”

Qakbot 的主要目的是从受感染的系统中窃取凭据，因此此类恶意软件可能造成的损害是巨大的。

当然，像往常一样，我们建议不要打开来自未知来源的电子邮件或附件。始终安装最新安全解决方案或工具，可以防止感染和其他类型的攻击。

Qakbot 以新的剧本重新出现

威胁行为者利用 DLL-SideLoading 传播恶意软件

在例行的威胁搜寻活动中，Cyble Research Labs 发现了一条 Twitter帖子，其中一名研究人员分享了与臭名昭著的 Qakbot 恶意软件相关的新 IoC。

对于初始感染，Qakbot 使用电子邮件群发垃圾邮件活动。Qakbot 威胁行为者 (TA) 自从最初在野外发现以来，就一直在不断改进他们的感染技术。

在此活动中，垃圾邮件包含一个受密码保护的 zip 文件，其中包含一个 ISO 文件。安装后，此 ISO 文件显示伪装成 PDF 文件的 .lnk 文件。如果受害者打开 .lnk 文件，则系统感染了 Qakbot 恶意软件。下图显示了 Qakbot 的感染链。

技术分析

Qakbot 的初始感染始于包含各种主题的恶意垃圾邮件活动，以诱使用户打开附件。

在此活动中，垃圾邮件包含一个 HTML 文件，该文件具有 base64 编码图像和一个受密码保护的 ZIP 文件，如下所示。

打开 HTML 文件后，它会自动将受密码保护的 zip 文件放到下载位置。在我们的示例中，该 zip 文件名为“ Report Jul 14 47787.zip ”。HTML 中提到了 zip 密码，如下所示。

使用密码打开 zip 文件后，它会从包含名为“ Report Jul 14 47787.iso”的 ISO 映像文件的文件夹中提取另一个文件。ISO 文件包含四个不同的文件：

a .lnk file

a legitimate calc .exe

WindowsCodecs.dll

7533.dll.

下图显示了提取文件的详细信息。

如果用户执行 ISO 文件，它会将 ISO 挂载到驱动器并仅向用户显示 .lnk 文件。在这种情况下，.lnk 文件被命名为“ Report Jul 14 4778.lnk”并伪装成 PDF 文件。

.lnk 文件的属性表明它执行ISO 文件中的calc.exe。下图显示了 .lnk 文件。

DLL 侧载：

DLL 侧载是 TA 使用合法化应用程序执行恶意代码的一种技术。在这种技术中，TA 将合法应用程序和恶意 .dll 文件放在一个公共目录中。

恶意 .dll 文件名与应用程序在执行期间加载的合法文件名相同。攻击者利用此技巧并执行恶意 .dll 文件。

在这种情况下，应用程序是calc.exe，名为WindowsCodecs.dll的恶意文件伪装成calc.exe的支持文件。

执行calc.exe后，它会进一步加载WindowsCodec.dll并使用regsvr32.exe执行最终的 Qakbot 有效负载。最终的有效载荷将其恶意代码注入explorer.exe并执行所有恶意活动。

下图是 Qakbot 的执行过程树。

Qakbot 背后的 TA 非常活跃，并且不断发展他们的方法以提高其功效和影响力。

Qakbot 从受害者的系统中窃取凭据并将其用于 TA 的经济利益。除了直接的财务影响外，这还可能导致 Qakbot 恶意软件的任何受害者发生欺诈、身份盗用和其他后果。

Cyble 研究实验室正在监控 Qakbot 的活动，并将继续及时通知我们的读者任何更新。

我们的建议 

☢  不要打开来自未知或不相关发件人的电子邮件。

☢  避免从未经验证的网站下载盗版软件。

☢  尽可能使用强密码并实施多因素身份验证。 

☢  在一定的时间间隔后继续更新您的密码。

☢  在您连接的设备（包括 PC、笔记本电脑和移动设备）上使用知名的防病毒解决方案和互联网安全软件包。  

☢  避免在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。   

☢  阻止可用于传播恶意软件的 URL，例如 Torrent/Warez。  

☢  在网络级别监控信标，以阻止恶意软件或 TA 泄露数据。  

☢  在员工系统上启用数据丢失防护 (DLP) 解决方案。