QBot恶意软件利用Windows DLL劫持漏洞发起新的网络钓鱼攻击

关键要点

• 攻击者正在利用Windows 10控制面板可执行文件中的DLL劫持漏洞。
• 新的网络钓鱼活动中，使用被盗的回复链邮件来分发HTML文件。
• HTML文件允许下载包含密码保护的ZIP档案的ISO文件。
• 恶意的QBot恶意软件通过DLL劫持进行安装，可能逃避安全系统的检测。

威胁行为者通过利用Windows10控制面板可执行文件中的DLL劫持漏洞，发起了一系列新的网络钓鱼攻击，这些攻击正在传播，根据的报道。在这场新的网络钓鱼活动中，攻击者利用被盗的回复链邮件，传送一个HTML文件，该文件允许下载包含密码保护的ZIP档案的ISO文件，依据ProxyLife的报告。

在这个ISO文件中，包含了Windows10控制面板的可执行文件“control.exe”、一个Windows快捷方式文件，以及两个DLL文件，其中一个是QBot恶意软件，另一个是用于DLL劫持的edputil.dll。当执行control.exe时，将尝试加载真实的edputil.dllDLL，但由于恶意DLL与control.exe位于同一位置，因此加载的将是恶意DLL。接着，恶意DLL将安装QBot恶意软件，通过受信任程序进行恶意软件安装可能有助于避免被安全系统检测，研究人员表示。

总结： 该网络钓鱼活动展示了攻击者如何利用Windows的安全漏洞进行恶意软件传播，强调了保护电子邮件和文件系统的重要性。

风险 | 描述
—|—
DLL 劫持 | 利用控制面板漏洞加载恶意DLL
网络钓鱼 | 使用被盗邮件分发恶意HTML文件
恶意软件 | QBot通过DLL劫持安静安装

随着网络安全威胁的不断演变，用户和组织必须采取预防措施，保持安全意识，以防范此类复杂的网络攻击。