Hackernews 编译，转载请注明出处： 自2023年6月下旬以来，一种名为MMRat的安卓银行木马被发现瞄准东南亚的移动用户，远程控制设备并进行金融欺诈。 该恶意软件以其独特的软件包名称com.mm.user命名,它可以捕获用户输入和屏幕内容，还可以通过各种技术远程控制受害者设备，使其操作员能够在受害者的设备上进行银行欺诈。”Trend Micro公司表示。 MMRat的与众不同之处在于，它使用了一种基于协议缓冲区(又名protobuf)的定制命令与控制(C2)协议，可以有效地从受感染的手机传输大量数据。这表明安卓恶意软件变得越来越复杂了。 根据网络钓鱼页面中使用的语言，该软件可能的目标包括印度尼西亚、越南、新加坡和菲律宾。 MMRat通常伪装成官方政府或约会应用作为它的攻击的入口点，目前尚不清楚受害者是如何被引导到这些链接的。 这款应用严重依赖Android辅助服务和MediaProjection API，而这两种API都被另一款名为SpyNote的Android金融木马所利用。恶意软件还能够滥用其访问权限来授予自己其他权限和修改设置。 紧接着，它会进一步设置持久性，以便在重新启动之间存活下来。然后MMRat会启动与远程服务器的通信以等待指令，并将这些命令的执行结果传回给远程服务器。该木马利用不同的端口和协议组合来实现数据泄露、视频流和C2控制等功能。 MMRat具有收集广泛的设备数据和个人信息的能力，包括信号强度、屏幕状态、电池状态、安装的应用程序和联系人列表。人们怀疑，在进入下一阶段之前，攻击者会利用这些细节来进行某种形式的受害者侧写。 攻击结束后，MMRat会收到C2命令UNINSTALL_APP并删除自己。这通常发生在成功的欺诈交易之后，可以有效地从设备中删除所有感染痕迹。 为了减轻这种强大的恶意软件带来的威胁，建议用户只从官方来源下载应用程序，仔细审查应用程序评论，并在使用前检查应用程序请求访问权限。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

The Hacker News 网站披露，此前从未被记录的威胁组织正在针对香港和亚洲其它地区的实体组织，展开攻击活动，赛门铁克威胁猎人网络安全小组正在以昆虫为主题的“Carderbee”绰号追踪这一活动。 赛门铁克安全人员知乎此次攻击活动利用一个名为 EsafeNet Cobra DocGuard Client 的合法软件的木马版本，在受害者网络上传播一个名为 PlugX（又名 Korplug）的已知后门，在与 The Hacker News 共享的一份报告中，安全人员还指出在攻击过程中，攻击者使用了带有合法微软证书签名的恶意软件。 ESET 在其今年发布的季度威胁报告中着重强调了使用 Cobra DocGuard 客户端实施供应链攻击的黑客活动，还详细描述了 2022 年 9 月香港一家未命名的博彩公司因该软件推送的恶意更新，遭到黑客入侵。 值得一提的是，尽管 Cobra DocGuard 客户端应用程序被安装在大约 2000 个端点上，但据说受 Cobra DocGuard 影响的组织中只有多达 100 台计算机受到了感染，这表明攻击的重点范围可能有所缩小了。 Syamtec 指出恶意软件被发送到受感染计算机上的以下位置：csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’，表明涉及 Cobra DocGuard 的供应链攻击或恶意配置是攻击者破坏受影响计算机的方式。 在其中一个攻击实例中，上述描述的情况充当了部署下载器的渠道，该下载器具有来自微软的数字签名证书，随后被用于从远程服务器检索和安装 PlugX，这种模块化植入为攻击者在受感染平台上提供了一个秘密后门，使其可以继续安装其它有效载荷、执行命令、捕获击键、枚举文件和跟踪运行进程等。这些发现揭示了威胁攻击者继续使用微软签名的恶意软件进行攻击后活动并绕过安全保护。 尽管如此，关于 Carderbee 的许多细节仍未披露，目前还尚不清楚 Carderbee 的总部位于何处，它的最终目标是什么，以及它是否与 Lucky Mouse 有任何联系。 赛门铁克强调针对香港等地的攻击活动背后的攻击者是极具耐心且技术娴熟的网络攻击者，他们利用供应链攻击和签名恶意软件来开展活动，试图保持低调。此外，这些攻击者似乎只在少数获得访问权限的计算机上部署了有效载荷，这也表明幕后攻击者进行过一定程度的策划和侦察。     转自Freebuf，原文链接:https://www.freebuf.com/news/375853.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员在亚马逊云平台（AWS）中发现了一种新的后渗透漏洞，能允许 AWS 系统管理器代理（SSM 代理）作为远程访问木马在 Windows 和 Linux 环境中运行。 Mitiga的研究人员Ariel Szarf和Or Aspir在与The Hacker News分享的一份报告中说：“SSM代理是管理员用来管理实例的合法工具，攻击者如果在安装SSM代理的端点上获得了高权限访问，就可以重新利用它来持续开展恶意活动。” SSM Agent是一个安装在Amazon EC2实例上的软件，使管理员可以通过统一界面更新、管理和配置其 AWS 资源。 使用 SSM 代理作为木马具有诸多优点，能受到端点安全解决方案的信任，并且无需部署可能触发检测的其他恶意软件。为了进一步混淆视听，攻击者可以使用自己的恶意 AWS 帐户作为命令和控制 (C2) 来远程监控受感染的 SSM 代理。 Mitiga 详细介绍的后渗透技术假定攻击者已经拥有在安装并运行了 SSM Agent 的 Linux 或 Windows 端点上执行命令的权限，这需要将 SSM Agent 注册为在 “混合 “模式下运行，允许与 EC2 实例所在的原始 AWS 账户之外的不同 AWS 账户通信。这会导致 SSM 代理从攻击者拥有的 AWS 账户执行命令。 另一种方法是使用Linux 命名空间功能启动第二个 SSM 代理进程，该进程与攻击者的 AWS 账户进行通信，而已在运行的 SSM 代理则继续与原始 AWS 账户进行通信。 最后。Mitiga 发现 SSM 代理功能可能被滥用，将 SSM 流量路由到攻击者控制的服务器（包括非 AWS 账户端点），从而允许攻击者控制 SSM 代理而无需依赖AWS 基础设施。 Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件，以检测任何异常活动迹象，并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。     转自Freebuf，原文链接:https://www.freebuf.com/news/373738.html 封面来源于网络，如有侵权请联系删除

26日，武汉市应急管理局发布声明称，该局所属武汉市地震监测中心遭受境外组织的网络攻击。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体案例。国家计算机病毒应急处理中心和360公司组成的专家组发现，此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起，初步证据显示对武汉市地震监测中心实施网络攻击来自美国，本报将持续跟踪报道。 武汉市应急管理局在声明中称，其所属武汉市地震监测中心部分地震速报数据前端台站采集点网络设备遭受境外组织的网络攻击。 声明表示，为进一步查明事实，依法处理相关幕后黑客组织和不法分子的网络攻击行为，武汉市地震监测中心第一时间封存相关网络设备，并将遭受网络攻击的情况向辖区公安机关报案，我单位将保留进一步追诉的权利。 武汉市公安局江汉分局随即发布警情通报，证实在武汉市地震监测中心发现了源于境外的木马程序，该木马程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。该行为对国家安全构成严重威胁。江汉分局已对此案立案侦查，并对提取到的木马样本进一步开展技术分析。“初步判定，此事件为境外黑客组织和不法分子发起的网络攻击行为。” 有专业人士对《环球时报》记者表示，地震烈度数据指地震的烈度和震级，这是衡量地震破坏力的两个重要指标，尤其是地震烈度代表对地质的破坏程度，烈度越大、破坏性越大，“地震烈度数据与国家安全息息相关，比如一些军事防御设施就需要考虑到烈度等因素。” 武汉市地震监测中心是继去年6月份西北工业大学遭受境外黑客组织网络攻击之后的又一国家单位。西北工业大学受到攻击后，中国国家计算机病毒应急处理中心和360公司联合组成技术团队对此案进行全面技术分析工作，最终确定了此次案件的“真凶”是美国国家安全局（NSA）特定入侵行动办公室（TAO）。 《环球时报》记者获悉，当前中国国家计算机病毒应急处理中心和360公司组成的专家已赴武汉开展取证工作，初步证据显示对武汉市地震监测中心实施网络攻击来自美国。 众所周知，美国在世界范围展开网络攻击、实施窃密行为，最臭名昭著的两大机构分别是NSA和CIA（美国中央情报局）。 美国中央情报局总部大厅 资料图 根据360公司的监测结果，NSA对至少上百个中国国内的重要信息系统实施网络攻击，其中一款名为“验证器”的木马程序被发现在一些部门的信息系统中运行，向NSA总部传送情报。而且，结论显示，不仅在中国，其他国家的重要信息基础设施中，也正在运行大批的“验证器”木马程序，并且数量远超中国。 此外，据国家计算机病毒应急处理中心的研究发现，CIA针对全球发起的网络攻击行为早已呈现出自动化、体系化和智能化的特征，其网络武器使用了极其严格的间谍技术规范，各种攻击手法前后呼应、环环相扣，现已覆盖全球几乎所有互联网和物联网资产，可以随时随地控制别国网络，盗取别国重要、敏感数据。 美国在变本加厉对全球目标实施攻击窃密的同时，还不遗余力地“贼喊捉贼”，纠集其所谓盟友国家，大肆宣扬“中国网络威胁论”，诋毁污蔑我国网络安全政策。中国外交部多次对此做出驳斥，最近一次在19日的例行记者会上，外交部发言人毛宁表示，中国是网络攻击的受害者，我们坚决反对任何形式的网络攻击，美国长期对世界各国进行无差别大规模的网络攻击，美国的网军司令部去年公然将他国的关键基础设施列为美国网络攻击的合法目标，这种做法令人担忧。     转自Freebuf，原文链接:https://www.freebuf.com/news/373093.html 封面来源于网络，如有侵权请联系删除

Windows用户再次成为被称为LokiBot恶意软件的攻击目标，该恶意软件通过Office文档进行传播。 根据Fortinet安全研究员Cara Lin的最新报告，攻击者利用已知漏洞，如CVE-2021-40444和CVE-2022-30190，在微软Office文档中嵌入恶意宏。 这些宏一旦被执行，就会将LokiBot恶意软件投放到受害者的系统中，允许攻击者控制和收集敏感信息。 LokiBot是一个臭名昭著的木马程序，自2015年以来一直活跃，专门从受感染的机器中窃取敏感信息，主要针对Windows系统。 FortiGuard实验室对已识别的文件进行了深入分析，并探索它们传输的有效载荷以及行为模式。 根据调查显示，恶意文档采用了多种技术，包括使用外部链接和VBA脚本来启动攻击链。 LokiBot恶意软件一旦部署，就会使用规避技术躲避检测，并执行一系列恶意活动，从被入侵系统中收集敏感数据。 Viakoo公司Viakoo实验室副总裁John Gallagher在谈到新的攻击时说：这是LokiBot的新包装，相比之前更不容易被发现，并且能有效地掩盖其踪迹和混淆其过程，从而可能导致大量个人和商业数据外流。 为了防范此威胁，建议用户在处理 Office 文档或未知文件（尤其是包含外部链接的文件）时要更加谨慎。 Coalfire副总裁Andrew Barratt评论道，从解决方案和解决方法的角度来看，Microsoft是问题的根源，因此我们必须提醒用户保持安全防护产品为最新版本。 与此同时这也显示了电子邮件过滤解决方案的重要性，因为它可以在附件进入用户的收件箱之前主动扫描附件。     转自Freebuf，原文链接:https://www.freebuf.com/news/372237.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，自 2023 年 3 月以来，一个新手机恶意软件向美国、英国、德国、奥地利和瑞士等国的网上银行客户推送 Android 银行木马 “Anatsa”。 ThreatFabric 安全研究人员一直在跟踪这项恶意软件活动，他们表示攻击者正在通过安卓官方应用商店Play Store 分发恶意软件，仅通过这种方法就已经安装了 30000 多个。 2021 年 11 月，ThreatFabric 在 Google Play 上发现了Anatsa 的“历史”活动记录，当时该木马通过模仿PDF 扫描仪、二维码扫描仪、Adobe Illustrator 应用程序和健身追踪器应用程序，成功分发安装了 30 多万次。 新的 Anatsa 银行木马运动 2023 年 3 月，在此前恶意软件传播中断六个月后，威胁攻击者发起一个新的恶意软件“营销”活动，试图引导潜在受害目标从 Google Play 下载 Anatsa 滴管应用程序。 Google Play 上的恶意应用程序（ThreatFabric） 这时候的恶意应用程序属于办公/生产力类型，通过冒充 PDF 查看器、编辑器应用程序以及办公套件。值得一提的是，每当 ThreatFabric 向谷歌报告恶意应用程序并将其从商店删除时，网络攻击者就会以一个新伪装上传新的滴管应用程序，迅速回归。 目前，所有已确认的五个恶意软件滴管案例中，这些应用都是以“干净安全”的形式提交到 Google Play，后续，攻击者再用恶意代码进行更新。之所以采用这种模式，很可能是攻击者为了逃避 Google 第一次提交时严格的代码审查程序。 恶意应用程序提交时间表（ThreatFabric） 一旦有受害者目标下载恶意程序，滴管应用程序就会请求托管在 GitHub 上的外部资源，从那里下载伪装成 Adobe Illustrator 文本识别器插件的 Anatsa 有效载荷。 从 GitHub 检索到的有效载荷（ThreatFabric） 当受害者试图启动“合法”的银行应用程序时，Anatsa 则趁机通过在前台覆盖钓鱼页面以及通过键盘记录来收集银行账户凭据、信用卡详细信息、支付信息等财务信息。目前版本中，Anatsa 特洛伊木马支持针对世界各地近 600 个银行机构的金融应用程序。 Anatsa 攻击的一些美国银行（ThreatFabric） Anatsa 通过启动银行应用程序并冒充受害者进行交易，利用窃取的信息进行欺诈，为其运营商自动化洗钱过程。ThreatFabric 进一步指出由于交易是从目标银行客户经常使用的同一设备发起，银行反欺诈系统很难检测到。 此后，被盗金额会被转换为加密货币，并通过受害者所在国的洗钱网络转出（洗钱网络将保留被盗资金一部分作为费用，其余部分将发送给攻击者）。 到保护 Android 系统的时刻了 随着 Anatsa 等恶意软件将目标逐渐扩展到许多国家，用户必须对其安卓设备上安装的应用程序格外警惕，应该避免安装来自可疑发行商的应用程序，即使这些应用程序在谷歌 Play 等经过严格审查的商店中。 此外，还要检查应用程序的评论，判断其是否存在恶意行为，尽量安装网站上知名且经常引用的应用程序，避免安装评论很少的应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370411.html 封面来源于网络，如有侵权请联系删除

一项新的研究显示，许多企业在重命名项目时，不知不觉地将其代码库的用户暴露在重载劫持之下。 GitHub上数以百万计的企业软件存储库容易受到劫持，这是一种相对简单的软件供应链攻击，攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。 Aqua Security的研究人员在本周的一份报告中说，这个问题与GitHub如何处理依赖关系有关，当GitHub用户或组织更改项目名称或将其所有权转让给另一个实体时，容易受到重新劫持。 改名的风险 为了避免破坏代码的依赖性，GitHub在原 repo 名称和新名称之间建立了一个链接，因此所有依赖原 repo 的项目都会自动重定向到新更名的项目。然而，如果一个组织未能充分保护旧的用户名，攻击者可以简单地重新使用它来创建一个原始仓库的木马版本，这样任何依赖该存储库的项目将重新开始从该存储库下载。 Aqua公司的研究人员在本周的博客中说：当版本库所有者改变他们的用户名时，对于任何从旧版本库下载依赖项的人来说，在旧名称和新名称之间会产生一个链接。然而，任何人都有可能创建旧的用户名并破坏这个链接。 普遍性问题 Aqua发现了两个问题：一是，GitHub上有数百万个这样的软件库，包括属于谷歌和Lyft等公司的软件库；二是，攻击者很容易找到这些软件库以及劫持它们的工具。其中一个工具是GHTorrent，这个工具对GitHub上的所有公共事件（如提交和请求）进行了几乎完整的记录。攻击者可以使用GHTorrent来获取组织之前使用的GitHub仓库的名称。然后他们可以用这个旧用户名注册存储库，并向任何使用该存储库的项目传输恶意软件。 任何直接引用GitHub存储库的项目，如果存储库的所有者改变或删除了他们存储库的用户名，就会受到攻击。 因此，组织不应假定他们的旧名称不会被披露，而是要在GitHub上认领并保留他们的旧用户名。同时企业可以通过扫描他们的代码、存储库和关联性的GitHub链接来减轻他们面临的劫持威胁。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370289.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 6月25日消息，堪称经典的《超级马里奥 3：永远的马里奥》游戏正被网络攻击者植入恶意软件，导致众多玩家设备受到感染。 《超级马里奥 3：永远的马里奥》是由 Buziol Games 开发并于 2003 年在 Windows 平台上发布的免费重制版。该游戏一经推出便颇受欢迎，被认为是既保留了马里奥系列的经典机制，又具有更现代化的图形、造型和声音，目前已经发布多个后续版本，修复了错误并进行了改进。 但Cyble的研究人员发现，攻击者正在分发《超级马里奥 3：永远的马里奥》安装程序的修改样本，并通过游戏论坛、社交媒体群组、恶意广告等渠道进行分发。 研究人员观察到这些恶意游戏文件包含3个可执行文件，其中1个用于安装正常的游戏（“super-mario-forever-v702e.exe”），另外两个“java.exe”和“atom.exe”则会被安装到受害者的 AppData中的游戏安装目录，用来运行 XMR (Monero) 挖矿程序和 SupremeBot 挖矿客户端 除了上述文件外，另一个名为“Umbral Stealer”的文件则会从受害者的Windows 设备中窃取数据，包括存储在网络浏览器中的信息，例如存储的密码和包含会话令牌的 cookie、加密货币钱包以及 Discord、Minecraft、Roblox 和 Telegram 的凭证和身份验证令牌。 Umbral Stealer 还能创建受害者 Windows 桌面的屏幕截图或操纵网络摄像头，所有被盗数据在传输到 对方的C2服务器之前都将存储在本地。对于未开启篡改保护的设备，Umbral Stealer 能够通过禁用该程序来逃避Windows Defender的检测，但即便开启了防篡改，也能将进程排除在威胁列表之外。 此外，Umbral Stealer 还会修改 Windows 主机文件，以损害防病毒程序与其公司服务器的通信，从而破坏防病毒程序的有效性。 完整的感染链 安全专家建议，如果用户最近下载了这款游戏，应尽快对设备进行恶意软件扫描，删除检测到的任何恶意软件，并在检测到恶意软件后，将存储的任何敏感密码信息重置，并使用密码管理器进行存储。 同样，下载游戏或任何软件时，要确保从经认证的发行方网站或权威数字内容分发平台等官方来源进行下载。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370266.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现了一种新的 Android 木马，它可能危害到 4.21 亿台设备。 Doctor Web团队在上周发布的公告中，公布了有关木马的信息，该木马被称为 Android.Spy.SpinOk 。 SpinOk 具有多种间谍软件功能，包括文件收集和剪贴板内容捕获。该木马可以嵌入其他应用程序中，这就是它传播以感染数百万设备的方式。 SpinOk 模块似乎可以为用户提供吸引人的功能，例如迷你游戏、任务和奖品机会。但是，在激活后，此特洛伊木马 SDK 会建立与命令和控制 (C2) 服务器的连接，传输有关受感染设备的大量技术数据。 Dr.Web点名被恶意植入木马病毒的App多达101个，累积下载量超过4.2亿次，其中甚至不乏被用户大量下载的热门App，如影片剪辑 工具”Noizz”、文档传输工具”Zapya”，这些APP的下载量都超过1亿次。 以下为Dr.Web列出10款最热门的受影响App： 影片剪辑工具Noizz（下载量1亿次以上） 文档传输工具 Zapya（下载量1亿次以上） 影片剪辑工具 VFly（下载量5千万次以上） MV剪辑工具 MVBit（下载量5千万次以上）  影片制作 Biugo（下载量5千万次以上） 手机小游戏 Crazy Drop（下载量1千万次以上） 每日金钱奖励 Cashzine （下载量1千万次以上） 脱机阅读工具 Fizzo Novel（下载量1千万次以上） 每日奖励 CashEM（下载量5百万次以上） 观看影片获取奖励 Tick（下载量5百万次以上） Viakoo首席执行官巴德·布鲁姆黑德 (Bud Broomhead)表示：“威胁行为者已深入挖掘 Android 游戏的利基市场，这些游戏专注于为玩家赚钱。” 他还表示，“他们很可能出于某种原因专注于该利基市场，例如观察这些资金转移到银行账户或玩家将拥有可以进一步利用的特定文件的可能性。” 这些数据包括来自各种传感器（陀螺仪、磁力计等）的信息，使模块能够识别仿真器环境并调整其操作以避免被安全研究人员检测到。 此外，恶意软件可以忽略设备代理设置，从而在分析过程中隐藏网络连接。作为回报，它会从服务器接收 URL 列表，并将其加载到 WebView 中以展示广告横幅。 Doctor Web 专家在 Google Play 上的几个应用程序中检测到木马模块及其各种迭代的存在。虽然有些仍然包含恶意软件开发工具包 (SDK)，但其他一些仅包含特定版本或已从平台中完全删除。 Zimperium 产品战略副总裁 Krishna Vishnubhotla 解释说：“对于移动应用程序开发人员来说，SDK 大多是黑盒子。所有这些都集成在一起以完成特定的已知任务，无论是免费的还是付费的。但没有人检查 SDK 还能做什么，尤其是当它在最终用户设备上的应用程序中运行时。” Krishna Vishnubhotla 说道：“恶意行为者也不会让这变得简单，因为大多数可疑活动代码只有在设备上满足特定条件时才会下载，以避免被发现。” Doctor Web 表示，其分析显示该木马存在于 101 个应用程序中，总下载量为 421,290,300 次。该公司证实他们已将这一威胁通知了谷歌。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/2Rfv6iFrnQfZQ6L8fs2SJA 封面来源于网络，如有侵权请联系删除  

近日，卡巴斯基的最新发现显示，一个新的QBot恶意软件正在利用被劫持的商业电子邮件，分发恶意软件。 最开始发现该恶意活动是在2023年4月4日，主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄罗斯、法国、英国和摩洛哥的用户。 QBot（又名Qakbot或Pinkslipbot）是一个银行木马，从2007年开始活跃。除了从网络浏览器中窃取密码和cookies，它还作为后门注入有效载荷，如Cobalt Strike或勒索软件。 该恶意软件通过网络钓鱼活动传播，并不断更新，通过加入反虚拟机、反调试和反沙盒技术以逃避检测。正因为这样，它也成为2023年3月最流行的恶意软件。 卡巴斯基研究人员解释，早期，QBot的传播方式是通过受感染的网站和盗版软件传播的。现在则是通过银行木马已经驻留在其计算机上的恶意软件，社交工程和垃圾邮件传递给潜在的受害者。 电子邮件网络钓鱼攻击并不新鲜。其目的是诱使受害者打开恶意链接或恶意附件，一般情况下，这些文件被伪装成一个微软Office 365或微软Azure警报的封闭式PDF文件。 打开该文件后，就会从一个受感染的网站上检索到一个存档文件，该文件又包含了一个混淆的Windows脚本文件（.WSF）。该脚本包含一个PowerShell脚本，从远程服务器下载恶意的DLL。下载的DLL就是QBot恶意软件。 调查结果发布之际，Elastic Security Labs还发现了一个多阶段的社会工程活动，该活动使用武器化的Microsoft Word文档通过自定义方式分发Agent Tesla和XWorm。基于 NET 的加载程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363877.html 封面来源于网络，如有侵权请联系删除