外媒 BleepingComputer 報導,安全專家和 Cryptolaemus 成員 ProxyLife 發現了新的 QBot 網路釣魚活動,濫用 Win10 系統中的執行檔 write.exe,通過 DLL 劫持漏洞傳播。
QBot,也稱為 Qakbot,是一種 Windows 惡意軟體。QBot 最初作為銀行木馬出現,隨後演變成為惡意軟體投放器。
安全專家目前已經確認 Black Basta,Egregor 和 Prolock 等勒索軟體駭客使用該惡意軟體,對多家企業網路發起勒索攻擊。
受害者點選連結之後,會從遠端主機下載一個隨機命名的 ZIP 壓縮檔案。該文件中包含 document.exe 和名為 edputil.dll 的 DLL 檔案(用於 DLL 劫持)。
查看 document.exe 屬性,可以看到是WordPad檔案 Write.exe 的重新命名版本。
當 document.exe 啟動時,它會自動嘗試載入一個名為 edputil.dll 的合法 DLL 檔案,該檔案通常位於 C:\Windows\System32 資料夾中。
當可執行檔案嘗試載入 edputil.dll 時,優先會載入同一檔案路徑下的問題 edputil.dll 檔案。
Write.exe早期叫做小作家(Windows Write)是簡單的文書處理器,內建於微軟的Windows 1.0、Windows 2.0和Windows 3.x系列作業系統。其由始至終的變動很少,而且功能上和MacWrite十分相像。早期的小作家版本只支援Write (.wri)檔案,但到了1989年,更新到支援Microsoft Word的格式,並內建在翌年的Windows 3.0。
從此,小作家開始支援對早期的Word (.doc)檔案,進行開啟和建立有關的檔案。有了Windows 3.1,小作家開始支援物件連結與嵌入。
從Windows 95開始,以WordPad取代小作家。小作家與WordPad相同的是功能比記事本強大。一般認為,小作家是較現代的文字編輯器。但是,小作家的功能遠比Microsoft Word少。而小作家有一些功能是WordPad(至少到Windows 7版本)沒有的,最明顯的是文字對齊功能。
目前,你在Windows根目錄之下還是找得到Write.exe這個檔案,但是執行之後直接開啟的就是WordPad。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!