QBot恶意软件利用Windows WordPad漏洞进行攻击

关键要点

• QBot恶意软件使用DLL劫持漏洞，感染设备。
• 通过钓鱼邮件传播，链接下载伪装文件。
• 利用Windows 10的WordPad执行进行隐蔽操作。
• 主要影响Windows 10及更高版本。

根据的报道，最近QBot恶意软件（又称为Qakbot）的网络钓鱼攻击中，利用了Windows 10WordPad可执行文件“write.exe”的DLL劫持漏洞。据Cryptolaemus成员和安全研究者ProxyLife所述，该恶意活动发送的钓鱼邮件包含用于下载文件的链接，点击后将下载一个随机命名的ZIP文件，其中包含WordPad可执行文件“document.exe”和用于DLL劫持的“edputil.dll”文件。

运行“document.exe”将触发合法的“edputil.dll”文件加载，但同名的任何DLL都可能被加载，从而实现DLL劫持。在下载伪装成PNG文件的DLL后，QBot将能够窃取邮箱并进一步部署恶性代码。ProxyLife表示，虽然利用Windows10 WordPad安装QBot有助于逃避安全软件的检测，但使用curl.exe进行攻击意味着仅限于在Windows 10及更高版本运行的机器。

攻击特征 | 描述
—|—
恶意软件 | QBot（Qakbot）
钓鱼邮件 | 包含下载链接
DLL劫持漏洞 | 利用“write.exe”和“edputil.dll”
受影响系统 | Windows 10及更高版本

相关链接

为了保护个人和企业，建议用户对未知邮件保持高度警惕，并确保系统和安全软件及时更新。