QakBot-Malware: Warnung vor zunehmenden Angriffen
von Tina Siering
Akut steigende Angriffszahlen von “QakBot” registriert
Innerhalb der letzten drei Tage kam es weltweit zu einer sehr starken Häufung von erfolgreichen Kompromittierungen durch die Malware „QakBot“ (auch „QBot“ und „QuackBot“ genannt).
QakBot verbreitet sich hauptsächlich über gezielte Spear-Phishing-Angriffe, bei denen der Empfänger in dringlichem Ton aufgefordert wird, eine angehängte, maliziöse ISO-Datei (die wiederum eine LNK-Datei und den QakBot-Payload enthält) zu öffnen.
Dieser Banking-Trojaner verschafft Kriminellen Zugriff auf Online-Banking-Konten, ermöglicht die Ausleitung von Nutzerdaten und lädt Schadsoftware nach. Die Aktivitäten werden den Bedrohungsakteuren hinter der Ransomware Black Basta zugeschrieben. Auch im Rahmen unseres ACD-Monitorings haben wir die Malware bereits aktiv detektiert. Als eine Maßnahme, die wir präventiv umsetzen und auch bereits bei betroffenen Kunden durchgeführt und als wirksam verifiziert haben, empfehlen wir dringend die folgenden Anpassungen der Gruppenrichtlinienobjekte (GPO).
Handlungsempfehlung
Um das Öffnen und Mounten von allen Image Dateien für alle Geräte im Netzwerk zu unterbinden, empfehlen wir Systemadministratoren eine globale Änderung der Gruppenrichtlinienobjekte (GPO) vorzunehmen. Im Anhang finden Sie einen Screenshot, der die Einstellungsänderung dokumentiert.
Bitte setzen Sie exakt folgenden Wert: SCSI\CdRomMsft____Virtual_DVD-ROM_ und zusätzlich einen Haken bei: „Auch auf übereinstimmende Geräte anwenden, die bereits installiert sind“.
Aus unserer Sicht sollten Anwender so nicht in der Lage sein, ISO-Dateien zu mounten.
Allgeier secion-Kunden mit einem aktiven Managed Service Vertrag für Active Cyber Defense werden selbstverständlich separat über maliziöse Kommunikation auf ihren Systemen informiert.
Brauchen Sie Unterstützung, um Ihre IT Security für 2022 aufzurüsten? Kontaktieren Sie uns!
Update 14.11.2022 14:16 MESC
Die neusten Patchday-Updates von Microsoft beheben auch die Schwachstelle, die im Zusammenhang mit der Sicherheitsfunktion Mark-of-the-Web (MotW) steht.
Während eine heruntergeladene oder angehängte ISO-Datei das Mark of the Web enthält und beim Öffnen eine Warnung ausgibt, führte der Fehler dazu, dass das MoTW-Flag nicht an Nicht-Microsoft Office-Dateitypen weitergegeben wurde, z. B. Windows Shortcuts (LNK-Dateien).
Wenn ein Benutzer einen ISO-Anhang öffnet und auf die eingeschlossene LNK-Datei doppelklickt, wird sie daher automatisch ausgeführt, ohne dass Windows eine Sicherheitswarnung anzeigt. Nach der Installation der Sicherheitsupdates wird Windows nun das Mark-of-the-Web-Flag von der ISO-Datei auf alle Inhalte übertragen und beim Starten der LNK-Datei ordnungsgemäß eine Sicherheitswarnung anzeigen:
Quelle: BleepingComputer