Qbot恶意软件使用了非常隐秘的自动启动方法来逃避检测

2020年12月21日, 国内信息网络安全公司江民报道了Qbot恶意软件。该恶意软件会在受感染的Windows设备关闭之前立即激活其持久性机制，并在系统重新启动或从睡眠中唤醒时自动删除所有攻击痕迹。 Qbot是一种Windows银行木马，具有蠕虫功能，至少从2009年开始活跃，用于窃取银行凭证，个人信息和财务数据。Qbot银行木马在2009年被发现后一直在不断更新, 此外, Qbot用于窃取银行证书和金融数据，以及记录用户的键盘、部署后门，并在受到攻击的设备上投放额外的恶意软件。在最近的攻击活动中，该恶意软件还部署Cobalt Strike信标，勒索软件运营商使用这些信标来发送ProLock和Egregor勒索软件的有效载荷。Qbot受害者已被带有伪装为DocuSign文档的Excel文档附件的网络钓鱼电子邮件感染。