未知攻击者利用垃圾邮件传播网银木马IcedID和QBot

2021年6月24日，俄罗斯网络安全企业卡巴斯基发布报告，称其于2021年3月中旬监测到两起新的垃圾邮件活动，旨在传播分发网银木马IcedID和QBot（又名QakBot），以窃取用户密码信息和远程控制受害主机。 据报告，第一个垃圾邮件活动被称为“DotDat”，该活动通过垃圾邮件分发了一个zip文件，其中包含一个同名的恶意Excel文件。该文件通过运行恶意宏代码从指定的恶意链接下载银行恶意软件IcedID的下载程序或QBot程序，然后启动恶意程序。第二个垃圾邮件活动于2021年3月17日达到高峰，并于4月停止。此次活动的邮件中包含恶意链接，链接托管名为“documents.zip”、“document-XX.zip”、“doc-XX.zip”的恶意zip文件，文件中包含恶意Excel文件，其中含有用于获取IcedID下载程序的宏代码。 报告指出，两个垃圾邮件活动分发的IcedID和QBot均为银行恶意软件。IcedID可实施网络注入、虚拟机环境检测和其他恶意操作，主要由两部分组成，分别是下载器和执行所有恶意活动的主体。QBot是一个带有嵌入式 DLL（主体）的单个可执行文件，可下载和运行其他恶意模块，包括网络注入模块、hVNC（远程控制模块）、电子邮件收集器、密码抓取器等。