Qbot僵尸网络使用新模板分发其恶意软件,该模板使用伪造的Windows Defender Antivirus主题诱使您启用Excel宏。
Qbot,也称为QakBot或QuakBot,是Windows恶意软件,它窃取银行凭据,Windows域凭据,并提供对安装勒索软件的威胁参与者的远程访问。
受害者通常是通过另一种恶意软件感染或通过使用各种诱饵的网络钓鱼活动感染Qbot的,这些诱饵包括虚假发票,付款和银行信息,扫描的文档或发票。
来源:Brad Duncan
这些垃圾邮件的附件是恶意Excel(.xls)附件。打开后,这些附件将提示用户“启用内容”,以便运行恶意宏以在受害者的计算机上安装Qbot恶意软件。
为了诱使用户单击“启用内容”按钮,从而启用宏,威胁参与者使用风格化的文档模板,这些模板伪装成来自可信赖的组织或您的操作系统。
8月25日,Qbot切换到一个新模板,该模板伪装成Windows Defender Antivirus的警报,声称该文档已加密。
要解密文档,用户需要单击“启用编辑”或“启用内容”以使用“ Microsoft Office Decryption Core”对其进行解密。
单击启用内容后,将执行恶意宏,该宏将Emotet恶意软件下载并安装在受害者的计算机上。
对于从事网络安全工作的人员,IT管理员或Windows爱好者而言,以上信息显得很愚蠢且虚构。但是,对于临时用户而言,令人信服的是,许多人会按照说明进行操作并感染Qbot。
为什么必须认识Qbot附件?
在过去的几个月中,Qbot的发行量有所增加,尤其是在由Emotet僵尸网络发出垃圾邮件之后。
受到感染后,Qbot会执行各种恶意活动,使威胁行为者可以访问您的银行帐户和网络。
一旦他们获得了网络访问权限,便会 在整个系统中安装勒索软件,例如ProLock。
因此,至关重要的是要识别Qbot使用的恶意文档模板,以免意外感染。
*编译:Domino
*来自:bleepingcomputer