近日，卡巴斯基的最新發(fā)現(xiàn)顯示，一個(gè)新的QBot惡意軟件正在利用被劫持的商業(yè)電子郵件，分發(fā)惡意軟件。

最開(kāi)始發(fā)現(xiàn)該惡意活動(dòng)是在2023年4月4日，主要針對(duì)德國(guó)、阿根廷、意大利、阿爾及利亞、西班牙、美國(guó)、俄羅斯、法國(guó)、英國(guó)和摩洛哥的用戶。

QBot（又名Qakbot或Pinkslipbot）是一個(gè)銀行木馬，從2007年開(kāi)始活躍。除了從網(wǎng)絡(luò)瀏覽器中竊取密碼和cookies，它還作為后門注入有效載荷，如Cobalt Strike或勒索軟件。

該惡意軟件通過(guò)網(wǎng)絡(luò)釣魚活動(dòng)傳播，并不斷更新，通過(guò)加入反虛擬機(jī)、反調(diào)試和反沙盒技術(shù)以逃避檢測(cè)。正因?yàn)檫@樣，它也成為2023年3月最流行的惡意軟件。

卡巴斯基研究人員解釋，早期，QBot的傳播方式是通過(guò)受感染的網(wǎng)站和盜版軟件傳播的?，F(xiàn)在則是通過(guò)銀行木馬已經(jīng)駐留在其計(jì)算機(jī)上的惡意軟件，社交工程和垃圾郵件傳遞給潛在的受害者。

電子郵件網(wǎng)絡(luò)釣魚攻擊并不新鮮。其目的是誘使受害者打開(kāi)惡意鏈接或惡意附件，一般情況下，這些文件被偽裝成一個(gè)微軟Office 365或微軟Azure警報(bào)的封閉式PDF文件。

打開(kāi)該文件后，就會(huì)從一個(gè)受感染的網(wǎng)站上檢索到一個(gè)存檔文件，該文件又包含了一個(gè)混淆的Windows腳本文件（.WSF）。該腳本包含一個(gè)PowerShell腳本，從遠(yuǎn)程服務(wù)器下載惡意的DLL。下載的DLL就是QBot惡意軟件。

調(diào)查結(jié)果發(fā)布之際，Elastic Security Labs還發(fā)現(xiàn)了一個(gè)多階段的社會(huì)工程活動(dòng)，該活動(dòng)使用武器化的Microsoft Word文檔通過(guò)自定義方式分發(fā)Agent Tesla和XWorm?；?NET 的加載程序。