Neue QakBot(Qbot)-Angriffswelle: E-Mails mit schädlichem PDF-Anhang führen zur Installation von Malware
von Tina Siering
Conversation Hijacking-Taktik
Erst im November letzten Jahres haben wir vor aggressiven Phishing-Angriffen mit der Malware Qakbot (auch QBot genannt) gewarnt. Damals wurde eine maliziöse ISO-Datei verwendet, die wiederum eine LNK-Datei und den QakBot-Payload enthielt. Nun ist der Banking Trojaner mit einer anderen Angriffsmethode wieder stark aktiv!
Gelingt es ihm in Unternehmensnetzwerke einzudringen, platziert er zusätzliche Payloads wie Cobalt Strike, Brute Ratel und weitere Malware, die wiederum potentiellen Angreifern den Zugriff auf das kompromittierte Gerät ermöglichen.
Die Folge: Cyberkriminelle bewegen sich unerkannt lateral im Netzwerk, stehlen Daten und nutzen schließlich Ransomware für Erpressungsangriffe.
Im April 2023 ist erneut eine hohe Qakbot-Aktivität zu beobachten: Windows-Nutzer in Unternehmen stehen im Fokus. Die Verbreitung erfolgt gezielt als Spear-Phishing-E-Mail, diesmal mit bösartigen PDF-Anhängen, die beim Öffnen von Windows Skriptdateien von einem Remote-Server herunterladen.
Die Verbreitung des Banking-Trojaners erfolgt über die echte Geschäftskorrespondenz des potenziellen Opfers, die von den Cyberkriminellen erbeutet wird. Dabei wird die so genannte „Conversation Hijacking“-Taktik eingesetzt: Unter Angabe eines plausiblen Grundes wird der Betroffene aufgefordert, den schädlichen PDF-Anhang zu öffnen (z.B. verbunden mit einer Bitte, eine vereinbarte Auftragssumme anhand der im Anhang geschätzten Kosten zu berechnen). Dadurch kann die Phishing-E-Mail weniger verdächtig erscheinen.
Die Phishing-E-Mails werden in verschiedenen Sprachen versendet werden – darunter auch in Deutsch. Beim Öffnen der geschützten PDF-Datei wird eine Zip-Datei heruntergeladen, die eine Windows-Skript-Datei (wsf) enthält und schließlich ein PowerShell-Skript auf dem infizierten Rechner ausführt. Das PowerShell-Skript versucht, eine DLL von einer Liste von URLs herunterzuladen, solange bis die Datei erfolgreich in den Ordner %TEMP% ausgeführt wurde.
Quelle: bleepingcomputer.com
Wenn die QBot-DLL ausgeführt wird, führt sie den PING-Befehl aus, um festzustellen, ob eine Internetverbindung besteht. Die Malware fügt sich dann in das legitime Windows-Programm wermgr.exe (Windows Error Manager) ein, wo sie unbemerkt im Hintergrund ausgeführt wird.
Quelle: bleepingcomputer.com
Bleiben Sie wachsam und bedenken Sie, dass Cyberkriminelle ihre Taktiken immer weiter entwickeln - und wie in diesem Fall - zusätzliche, überzeugende Social-Engineering-Elemente integrieren. Achten Sie daher auf die korrekte Schreibweise der E-Mail-Adresse des Absenders, merkwürdige Anhänge oder grammatikalische Fehler.
Sollte ein Gerät mit QBot infiziert sein, ist es wichtig, das System so schnell wie möglich offline zu nehmen und das Netzwerk vollständig auf ungewöhnliches Verhalten zu überprüfen.
Allgeier secion-Kunden mit einem aktiven Managed Service Vertrag für Active Cyber Defense werden selbstverständlich über maliziöse Kommunikation auf ihren Systemen gesondert informiert.