Qakbot 开始利用 OneNote 文件进行分发
💡
原文中文,约6100字,阅读约需15分钟。
📝
内容提要
最近攻击者开始利用OneNote文件发起攻击,Qakbot也加入其中,使用电子邮件作为最初的攻击向量,提示用户下载武器化的文件,点击按钮即可执行嵌入文档中的HTA代码,从而下载Qakbot样本并执行。因此,即使熟悉发件人也不要轻信文件,再次与发件人确认,确保是发件人的真实意愿。
🎯
关键要点
- 攻击者开始利用OneNote文件发起攻击,Qakbot也加入其中。
- Qakbot使用电子邮件作为最初的攻击向量,提示用户下载武器化的文件。
- 恶意邮件中嵌入恶意OneNote文件,使用多种主题进行欺骗。
- 只有带有Windows计算机的浏览器才能请求获得恶意OneNote文件。
- 恶意OneNote文件中包含提示用户点击按钮打开附件的图片。
- 点击按钮会执行嵌入的HTA代码,下载并执行Qakbot样本。
- 脚本将硬编码URL传递给curl.exe应用程序,下载恶意DLL文件。
- 即使熟悉发件人,也不要轻信文件,需再次确认发件人的真实意愿。
- OneNote会弹出安全提示,警告用户打开附件可能会损害计算机和数据。
➡️
