近日，卡巴斯基的最新發(fā)現(xiàn)顯示，一個新的QBot惡意軟件正在利用被劫持的商業(yè)電子郵件，分發(fā)惡意軟件。

最開始發(fā)現(xiàn)該惡意活動是在2023年4月4日，主要針對德國、阿根廷、意大利、阿爾及利亞、西班牙、美國、俄羅斯、法國、英國和摩洛哥的用戶。

QBot（又名Qakbot或Pinkslipbot）是一個銀行木馬，從2007年開始活躍。除了從網(wǎng)絡(luò)瀏覽器中竊取密碼和cookies，它還作為后門注入有效載荷，如Cobalt Strike或勒索軟件。

該惡意軟件通過網(wǎng)絡(luò)釣魚活動傳播，并不斷更新，通過加入反虛擬機、反調(diào)試和反沙盒技術(shù)以逃避檢測。正因為這樣，它也成為2023年3月最流行的惡意軟件。

卡巴斯基研究人員解釋，早期，QBot的傳播方式是通過受感染的網(wǎng)站和盜版軟件傳播的?，F(xiàn)在則是通過銀行木馬已經(jīng)駐留在其計算機上的惡意軟件，社交工程和垃圾郵件傳遞給潛在的受害者。

電子郵件網(wǎng)絡(luò)釣魚攻擊并不新鮮。其目的是誘使受害者打開惡意鏈接或惡意附件，一般情況下，這些文件被偽裝成一個微軟Office 365或微軟Azure警報的封閉式PDF文件。

打開該文件后，就會從一個受感染的網(wǎng)站上檢索到一個存檔文件，該文件又包含了一個混淆的Windows腳本文件（.WSF）。該腳本包含一個PowerShell腳本，從遠(yuǎn)程服務(wù)器下載惡意的DLL。下載的DLL就是QBot惡意軟件。

調(diào)查結(jié)果發(fā)布之際，Elastic Security Labs還發(fā)現(xiàn)了一個多階段的社會工程活動，該活動使用武器化的Microsoft Word文檔通過自定義方式分發(fā)Agent Tesla和XWorm?；?NET 的加載程序。