Qakbot恶意软件的新攻击手段

关键要点

• Qakbot恶意软件的运营者正在利用代码混淆和新攻击链层次来隐藏其活动。
• 使用ZIP文件扩展名和常见文件格式的诱惑性文件名来欺骗受害者下载恶意附件。
• 微软计划默认启用Office宏阻止，这促使Qakbot加速转向使用.LNK文件。
• Qakbot的模块化设计和抗检测能力使其成为攻击者的热门选择。

Zscaler的研究人员发现，Qakbot恶意软件的运营者已经采取了代码混淆技术和新的攻击链层次，同时利用各种URL和文件扩展名来更好地隐蔽其操作。”最近，威胁行为者通过使用ZIP文件扩展名、诱惑性的常见格式文件名，以及Excel
(XLM) 4.0，已将其技术转变为避免被检测，从而诱使受害者下载会安装Qakbot的恶意附件，” ZscalerThreatlabz的研究人员Aditya Sharma和Tarun Dewan表示。

微软此前计划默认启用Office宏阻止，虽然该计划近期暂停，但这促使Qakbot在5月份加快了使用.LNK文件代替XLM宏的转变。此外，Qakbot还进行了更改，以通过PowerShell启用DLL恶意软件下载，以及允许使用rundll32.exe进行有效载荷传递。Fortinet的研究人员之前指出，由于Qakbot的模块化设计和抗检测能力，使其受到威胁行为者的青睐。

要点总结： – Qakbot的恶意技术日益复杂，增加了对抗检测的能力。 – 攻击者采用新方法，它们通过诱骗文件名和格式来提高成功率。 –
安全研究机构需对这些新变化保持警惕，并加强防护措施。