内容摘要：近日，卡巴斯基的最新发现显示，一个新的QBot恶意软件正在利用被劫持的商业电子邮件，分发恶意软件。最开始发现该恶意活动是在2023年4月4日，主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄

近日，注意卡巴斯基的银行意软最新发现显示，一个新的木马QBot恶意软件正在利用被劫持的商业电子邮件，分发恶意软件
。通过

最开始发现该恶意活动是电邮在2023年4月4日，主要针对德国
、传件阿根廷
 、播恶意大利、高防服务器注意阿尔及利亚、银行意软西班牙、木马美国 、通过俄罗斯 、电邮法国、传件英国和摩洛哥的播恶用户 。

QBot（又名Qakbot或Pinkslipbot）是注意一个银行木马 ，从2007年开始活跃 
。除了从网络浏览器中窃取密码和cookies，建站模板它还作为后门注入有效载荷，如Cobalt Strike或勒索软件
。

该恶意软件通过网络钓鱼活动传播  ，并不断更新，通过加入反虚拟机 、反调试和反沙盒技术以逃避检测。正因为这样，它也成为2023年3月最流行的恶意软件。

卡巴斯基研究人员解释 ，早期 ，服务器租用QBot的传播方式是通过受感染的网站和盗版软件传播的。现在则是通过银行木马已经驻留在其计算机上的恶意软件，社交工程和垃圾邮件传递给潜在的受害者 。

电子邮件网络钓鱼攻击并不新鲜。模板下载其目的是诱使受害者打开恶意链接或恶意附件 ，一般情况下 ，这些文件被伪装成一个微软Office 365或微软Azure警报的封闭式PDF文件 。

打开该文件后
，就会从一个受感染的网站上检索到一个存档文件  ，该文件又包含了一个混淆的Windows脚本文件（.WSF） 。香港云服务器该脚本包含一个PowerShell脚本，从远程服务器下载恶意的DLL。下载的DLL就是QBot恶意软件。

调查结果发布之际，Elastic Security Labs还发现了一个多阶段的社会工程活动，该活动使用武器化的Microsoft Word文档通过自定义方式分发Agent Tesla和XWorm 
。亿华云基于 NET 的加载程序 。