Die Sicherheitsforscher des ThreatLabZ-Teams von Zscaler beobachten aktuell eine Kampagne zur Verbreitung von „QakBot“, einem Infostealer, der über Spam-E-Mails zugestellt und mit einem bösartigen Microsoft-Office-Anhang gebündelt wird. Diese infizierten Office-Dokumente werden für die Zustellung der Payload verwendet und dabei häufig für gezielte Angriffe auf Unternehmen eingesetzt. Ist eine Infektion eines Rechners erfolgt, so werden von Qakbot Informationen, wie IP-Adresse, Hostname, Username, OS-Version und Bankkontodaten ausgelesen.
Qakbot verwendet verschiedene Techniken, um der Erkennung zu entgehen und seine Analyse zu erschweren. Bei der Überprüfung eines Malware-Samples stellten die Sicherheitsforscher zwar fest, dass deren Zeitstempel aus dem Jahr 2010 stammte. Allerdings wurden sie durch kürzlich neu registrierte Domains auf die wiederauflebende Aktivität der Kampagne aufmerksam.
Das ThreatLabZ-Team hat Tausende von bösartigen Dokumenten aus verschiedenen Kampagnen analysiert und dabei ein verschleiertes Makro zur Verbreitung von Qakbot genauer unter die Lupe genommen, um den Infektionszyklus transparent zu machen. Die untersuchte Kampagne verwendet ein Office-Dokument mit dem Dateinamen „Operating Agreement_<integervalue>.doc“. Bei der Detonation in der Zscaler-Cloud-Sandbox wurde der Infektionsweg nachvollzogen. Das passwortgeschütze Makro löst verschiedene, mehrstufige Aktionen aus, wie das Kopieren von hardcoded, verschleierten Daten aus dem User-Formular, die nach der Entschlüsselung Daten in verschiedene Eigenschaftsabschnitte, wie Beschriftungen und Tags, ablegte. Erst von dort aus wurde Powershell für den Download der eigentlichen Payload vom Command & Control-Server gestartet.
Wir das Makro vom Anwender aktiviert, erzeugt es ein gefälschtes Popup-Fenster, um dem User glauben zu machen, dass sein System eine Funktion ausführt. Allerdings laufen im Hintergrund dann die schädlichen Aktivitäten des Makros ab. Diese Vorgehensweise ähnelt den Kampagnen von TA505-APT und Emotet.
Bevor der Hauptcode ausgeführt wird, überprüft die Malware das System auf vorhandene Antiviren-Software. Ebenso wird das System auf virtuelle Umgebungen und andere Monitoring-Tools gecheckt, indem die laufenden Prozesse auf dem Computer des Opfers überprüft werden. Mit CreateToolhelp32Snapshot wird ein Snapshot der Prozesse erstellt, und mit der Process32First- und Process32Next-API werden alle Prozesse aufgezählt. Außerdem kopiert sich die Malware in das Verzeichnis %AppData%\Roaming\Microsoft\{Random}\ und wird dort aktiv. Sie führt einen Befehl aus, um sich selbst anzupingen und die ursprüngliche Binärdatei durch eine Kopie der legitimen Windows-Calculator-Anwendung zu ersetzen. Qakbot sorgt für Persistenz auf dem befallenen System, indem es einen RUN-Schlüssel am Ort des automatischen Starts erstellt wodurch die Malware bei jeder Anmeldung ausführt wird. Darüber hinaus wird unter anderem eine geplante Aufgabe der täglichen Ausführung der Payload um 5:33 Uhr festgelegt und diese Aufgabe nach dem Aktivieren gelöscht.
Die Qakbot-Malware ist nicht neu, aber sie wird nach wie vor weiterentwickelt um neue Methoden, um Maschinen zu infizieren und der Entdeckung zu entgehen. Die gesamte Analyse der Qakbot-Kampagne ist im aktuellen Zscaler-Blog nachzulesen: https://www.zscaler.com/blogs/research/resurgence-qakbot-stealer-newly-registered-domains
#Zscaler
