(資料圖)

IT之家 5 月 28 日消息，根據(jù)國(guó)外科技媒體 BleepingComputer 報(bào)道，安全專(zhuān)家和 Cryptolaemus 成員 ProxyLife 發(fā)現(xiàn)了新的 QBot 網(wǎng)絡(luò)釣魚(yú)活動(dòng)，濫用 Win10 系統(tǒng)中的寫(xiě)字板可執(zhí)行文件 write.exe，通過(guò) DLL 劫持漏洞傳播。

QBot，也稱(chēng)為 Qakbot，是一種 Windows 惡意軟件。QBot 最初作為銀行木馬出現(xiàn)，隨后演變成為惡意軟件投放器。

安全專(zhuān)家目前已經(jīng)確認(rèn) Black Basta，Egregor 和 Prolock 等勒索軟件團(tuán)伙，使用該惡意軟件，對(duì)多家企業(yè)網(wǎng)絡(luò)發(fā)起勒索攻擊。

受害者點(diǎn)擊鏈接之后，會(huì)從遠(yuǎn)程主機(jī)下載一個(gè)隨機(jī)命名的 ZIP 壓縮文件。該文檔中包含 document.exe 和名為 edputil.dll 的 DLL 文件（用于 DLL 劫持）。

IT之家在此附上截圖，查看 document.exe 屬性，可以看到是合法寫(xiě)字板文件 Write.exe 的重命名版本。

當(dāng) document.exe 啟動(dòng)時(shí)，它會(huì)自動(dòng)嘗試加載一個(gè)名為 edputil.dll 的合法 DLL 文件，該文件通常位于 C：\Windows\System32 文件夾中。

當(dāng)可執(zhí)行文件嘗試加載 edputil.dll 時(shí)，優(yōu)先會(huì)加載同一文件路徑下的問(wèn)題 edputil.dll 文件。

關(guān)鍵詞