Meldung

QuakBot: Erfolgreiche Verbreitung dank altem Dateiformat

Qakbot ist zwar nicht neu am Himmel der Malware, allerdings warnt das Hornetsecurity Security Lab nun vor einer neuen Verbreitungsart: XLM-Makros in XLSB-Dokumenten. Da sowohl XLM-Makros als auch das XLSB-Dokumentenformat unüblich sind, haben diese neuen schädlichen Dokumente eine sehr niedrige Erkennungsrate durch aktuelle Antiviren-Software.
QuakBot nutzt ein altes Office-Format, um sich an Security-Produkten vorbei zu schleichen.
QakBot (auch bekannt als QBot, QuakBot, Pinkslipbot) gibt es seit 2008. Die Malware wird über Emotet verbreitet, indem Emotet den QakBot-Loader bei infizierten Opfern herunterlädt. QakBot wird aber auch direkt per E-Mail verteilt. Zu diesem Zweck wird in den Kampagnen das E-Mail-Conversation-Thread-Hijacking genutzt — also auf E-Mails geantwortet, die in den Postfächern der Opfer gefunden werden. QakBot ist außerdem dafür bekannt, Angriffe zu eskalieren, indem es die ProLock-Ransomware herunterlädt.

Warum werden die Attacken nicht erkannt?
XLSB ist ein binäres Excel-Arbeitsmappenformat, dessen Hauptzweck darin besteht, das Lesen und Schreiben in der Datei zu beschleunigen und die Größe sehr komplexer Tabellenkalkulationen zu reduzieren. Mit der derzeitigen Rechenleistung und Speicherverfügbarkeit nahm jedoch der Bedarf an diesem Binärformat ab und wird heute nur noch selten verwendet.

Laut den Experten des Hornetsecurity Security Labs [1] führt die Kombination mit den alten und ebenfalls nicht sehr häufig erkannten XLM-Makros dazu, dass die aktuellen Dokumente von keiner der auf VirusTotal aufgeführten Antiviren-Lösungen als schädlich identifiziert werden. Auch gängige Tools zur Malware-Analyse von Dokumenten, wie etwa OLEVBA, erkennen die XLM-Makros im XLSB-Format nicht.

Getarnt in einer ZIP-Datei
Die QakBot-XLSB-Dateien werden in einer angehängten ZIP-Datei verteilt. Diese ZIP-Datei enthält das XLSB-Dokument, das beim Öffnen vorgibt, ein von DocuSign verschlüsseltes Dokument zu sein. Der Benutzer muss "Editieren aktivieren" und "Inhalt aktivieren", um es zu entschlüsseln. Die URL wird über das XLM-Makro zusammengesetzt und täuscht den Download einer PNG-Datei vor. In Wirklichkeit ist die PNG-Datei aber die ausführbare Datei des QakBot-Laders.

Die meisten Antiviren-Lösungen konzentrieren sich auf moderne VBA-Makro-Malware, erkennen aber wiederauftauchende alte und heutzutage weniger verbreitete XLM-Makros und XLSB-Dokumente häufig nicht. Unternehmen sollten daher auf Sicherheitsservices zurückgreifen, die in der Lage sind, innerhalb kürzester Zeit auf neue Bedrohungen und Angriffsmethoden zu reagieren. Auch sind Makros immer wieder der Dreh- und Angelpunkt bei aktuellen Malware-Angriffen, weshalb Firmen diese Office-Funktion nur zulassen sollten, wenn sie absolut notwendig ist.
23.10.2020/dr

Tipps & Tools

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [27.01.2022]

Immer neue erfolgreiche Ransomware-Attacken lassen nicht zuletzt angesichts des oft enormen materiellen Schadens aufhorchen, den ihre Opfer erleiden – und der sich für die betroffenen Organisationen bis zur Überlebensfrage ausweiten kann. Eine junge Verteidigungsstrategie gegen die Erpresser ist die Zero-Trust-Segmentierung, die unser Fachartikel vorstellt. Dabei erfahren Sie unter auch, wie es die Mikrosegmentierung im Zusammenspiel mit einer Livekarte vermag, den modernen Cybergefahren mehr Granularität und Flexibilität entgegenzusetzen, als das die traditionellen Werkzeuge schaffen. [mehr]

Download der Woche: Optimizer [26.01.2022]

Wer sein Windows-System absichern und/oder optimieren möchte, dem bieten die Bordmittel des OS theoretisch einige Stellschrauben – praktisch allerdings oft genug recht versteckt oder beispielsweise aufgrund von IT-Policies schwierig beziehungsweise gar nicht zu bedienen. Als Alternative hat sich das kostenfreie Tool "Optimizer" auf die Fahnen geschrieben, Optionen zur Systemsicherheits und -verbesserung für das OS aus Redmond wesentlich einfacher umzusetzen. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen