研究人员发现了 Qakbot 恶意软件逃避检测的新尝试

Hackernews 编译，转载请注明出处：

Qakbot恶意软件背后的黑客正在改变他们的传输载体，试图避开检测。

Zscaler Threatlabz的研究人员Tarun Dewan和Aditya Sharma说：“最近，黑客改变了他们的技术，通过使用ZIP文件扩展名、常见格式的文件名和Excel (XLM) 4.0欺骗受害者下载安装Qakbot的恶意附件来逃避检测。”

该组织采用的其他方法包括代码混淆、在攻击链中引入从初始泄露到执行的新层，以及使用多个URL和未知文件扩展名（例如 .OCX, .ooccxx, .dat, 或.gyp）来交付有效负载。

Qakbot也被称为QBot，QuackBot或Pinkslipbot，自2007年底以来一直是反复出现的威胁，从最初的银行木马发展到能够部署勒索软件等下一阶段有效载荷的模块化信息窃取者。

这款恶意软件从2022年初的XLM宏转向5月份的.LNK文件，这被视为试图反击Microsoft在2022年4月默认阻止Office宏的计划，该公司后来暂时收回了这一决定。

此外，进一步的修改还包括使用PowerShell下载DLL恶意软件，以及从regsvr32.exe切换到rundlll32.exe来加载有效载荷，研究人员称这是“Qakbot进化以逃避更新的安全实践和防御的明显迹象”。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文