Qakbot-Malware versteckt sich in ZIP-Dateien

Sicherheitsforscher von Zscaler-Threatlabz haben eine Multi-Vektor-Kampagne der Qakbot-Gruppe analysiert und in den letzten sechs Monaten einen deutlichen Anstieg der Verbreitung von Qakbot-Malware festgestellt. In jüngster Zeit haben die Bedrohungsakteure hinter der Schadsoftware ihre Techniken geändert, um die Erkennung zu umgehen. Sie verwenden ZIP-Dateierweiterungen, verlockende Dateinamen mit gängigen Formaten und Excel (XLM) 4.0, um Opfer zum Herunterladen bösartiger Anhänge zu verleiten.

Andere, subtilere Techniken werden von Bedrohungsakteuren eingesetzt, um eine automatische Erkennung zu verhindern und die Wahrscheinlichkeit zu erhöhen, dass ihr Angriff erfolgreich ist. Dazu gehören die Verschleierung von Code, die Nutzung mehrerer URLs zur Übermittlung der Payload, die Verwendung unbekannter Dateierweiterungen zur Übermittlung der Malware und die Veränderung der Prozessschritte durch die Einführung neuer Ebenen zwischen der ersten Kompromittierung, der Übermittlung und der endgültigen Ausführung des Schadcodes. Eingebettet in Dateianhänge mit gängigen Namen nutzt Qakbot ZIP-Archivdateierweiterungen, um dahinter ausführbare Dateien, wie unter anderem Microsoft-Office-Dateien, LNK und Powershell zu verstecken.

Qakbot, auch unter den Namen „QBot“, „QuackBot“ und „Pinkslipbot“ bekannt, ist seit 2008 aktiv und weit verbreitet als Trojaner, der Passwörter stiehlt. Der Infostealer verbreitet sich über ein E-Mail-gesteuertes Botnet, das Antworten in aktive E-Mail-Threads einfügt. Die Bedrohungsakteure nehmen Bankkunden ins Visier und nutzen den Zugang, den sie durch kompromittierte Anmeldedaten erhalten, um Finanzgeschäfte auszuspionieren und um an wertvolle Informationen zu gelangen.

Distributionsweg von Qakbot

Infostealer wie Qakbot sind eine Monetarisierungs-methode, die Cyberkriminelle nutzen, um an sensible Informationen zu gelangen. Diese Malware-Kategorie spielt in modernen Ransomware-Szenarien eine immer größere Rolle, da die Angreifer einen doppelten Erpressungsmechanismus nutzen, um die Erfolgsquote ihrer Bemühungen zu erhöhen. Wenn die ursprüngliche Ransomware-Payload ihren Zweck verfehlt, weil ein Unternehmen über eine wirksame Offline-Backup-Strategie verfügt, kann eine doppelte Erpressungsstrategie den Druck auf ein Unternehmen erhöhen, den Geldforderungen nachzukommen. Mit Hilfe von Infostealer-Remote-Access-Trojanern (RATs) werden vertrauliche Informationen aus einem Unternehmensnetz gestohlen und im Anschluss damit gedroht, die exfiltrierten Daten zu veröffentlichen.

Fazit

Das Zscaler-ThreatLabz-Team wird diese und andere Kampagnen weiterhin auswerten, um Unternehmen zu schützen und wichtige Informationen mit der größeren SecOps-Community zu teilen. Darüber hinaus geht es darum die Ausbreitung aktiver Bedrohungen wie Qakbot zu stoppen. Mehr Details der technischen Analyse finden sich im Blog: https://www.zscaler.de/blogs/security-research/rise-qakbot-attacks-traced-evolving-threat-techniques

#Zscaler