近年来,攻击者在钓鱼邮件中使用 ISO 与 ZIP 类型的附件变得越来越普遍。与直接投递可执行文件不同,ISO/ZIP 更容易绕过传统邮件安全系统的检测。尤其是当 ISO 文件被打开后,Windows 会将其挂载为虚拟驱动器,用户可以像打开普通压缩包一样浏览其中的文件,这为攻击者隐藏恶意内容提供了便利。
本篇博客将结合 Quakbot 恶意软件的典型传播案例,对这种攻击方式进行深入分析。
一、ISO / ZIP 作为恶意软件载体的兴起
攻击者偏好使用 ISO 与 ZIP 文件的原因包括:
• 传统安全网关对嵌套压缩结构扫描有限
• Windows 原生支持 ISO 挂载,用户更容易被引导打开
• 可放置 LNK、JS 等“可执行行为但非可执行格式”的文件
• 嵌套结构可隐藏多个阶段的攻击文件
当受害者打开 ISO 时,攻击者预先准备的文件即被映射到 Windows 环境中,为启动恶意程序创造条件。
二、Quakbot
Quakbot(又称 Qbot)自 2007 年起活跃,是典型的财务驱动型恶意软件。虽然最初被设计用于窃取银行凭据,但多年演变后,它已成为攻击链中的多功能组件,常用于:
• 窃取凭据
• 横向移动
• 部署勒索软件
2022 年 7 月 21 日,ProxyLife 与 Cyble 的研究人员披露了 Quakbot 利用多重文件嵌套的新型传播方式,对防御体系构成新的挑战。
三、攻击链概述
1. 钓鱼邮件中的 HTML 附件
攻击者首先发送包含 HTML 文件 的钓鱼邮件。当用户打开该 HTML 文件时:
• 一个带密码的 ZIP 文件会被自动保存到下载目录
• 页面提示用户
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
