QBot 木马升级为勒索工具，滥用 Win10 写字板可执行文件、劫持 DLL 感染设备

IT之家 5 月 28 日消息，根据国外科技媒体 BleepingComputer 报道，安全专家和 Cryptolaemus 成员 ProxyLife 发现了新的 QBot 网络钓鱼活动，滥用 Win10 系统中的写字板可执行文件 write.exe，通过 DLL 劫持漏洞传播。QBot，也称为 Qakbot，是一种 Windows 恶意软件。QBot 最初作为银行木马出现，随后演变成为恶意软件投放器。安全专家目前已经确认 Black Basta，Egregor 和 Prolock 等勒索软件团伙，使用该恶意软件，对多家企业网络发起勒索攻击。受害者点击链接之后，会从远程主机下载一个随机命名的 ZIP 压缩文件。该文档中包含 document.exe 和名为 edputil.dll 的 DLL 文件（用于 DLL 劫持）。IT之家在此附上截图，查看 document.exe 属性，可以看到是合法写字板文件 Write