QBot バンカーは、ビジネス通信を通じて配信されます from securelist.com
security summary
悪意のある添付ファイルを含む転送レターの例
QBot マルウェア配信スキームは、PDF ファイルが添付された電子メール レターの送信から始まります。
ユーザーが同意すると、元の PDF ファイルで指定されたパスワードで保護されたリモート サーバー (侵害されたサイト) からアーカイブがダウンロードされます。
したがって、ユーザーがアーカイブから WSF ファイルを開くとすぐに、PowerShell スクリプトがコンピューター上で個別に実行され、wget を使用してリモート サーバーから DLL ファイルをダウンロードします。
PowerShell スクリプトは、コードにリストされている各 URL からファイルをダウンロードしようとします。
ファイル サイズが 100000 バイト以上の場合、スクリプトは rundll32 を使用して DLL を実行します。
コメント