Meldung

Qbot auf dem Vormarsch

Sicherheitsforscher von Check Point warnen vor dem Trojaner Qbot. Derzeit gibt es weltweit rund 100.000 bestätigte Opfer der Malware, was sie zur weitverbreitetsten Schad-Software macht. Qbot infiziert Outlook-Postfächer um E-Mails zu sammeln, auszuwerten und sich in lukrative Konversationen einzuklinken.
Mittels des manipulierten E-Mail-Verkehrs versucht die Malware laut Check Point [1] dann, Zugangsdaten abzugreifen. Am häufigsten treffen die Attacken die USA mit 29 Prozent, danach kommen Indien, Israel und Italien mit 7 Prozent auf Platz zwei, gefolgt von Deutschland und der Türkei auf Platz 3 mit jeweils 6 Prozent. Qbot ist seit 2008 bekannt und auf Browser-Daten und Online-Banking-Daten spezialisiert. Die aktuelle Version ist stark verbessert worden.

Zwischen März und August 2020 haben die Sicherheitsforscher mehrere Kampagnen entdeckt. Bei einer davon wurde Qbot über das berüchtigte Emotet-Bot-Netz ausgeliefert, das ebenfalls als Banking-Trojaner arbeiten kann und umfangreich in seinen Funktionen erweitert wurde. Aus diesem Grund gehen die Sicherheitsforscher davon aus, dass auch Qbot neue Funktionen erhalten hat und die Command-and-Control-Server-Infrastruktur erneuert wurde. Die Malware mauserte sich nun zum Multi-Funktions-Werkzeug, da es in der Lage ist, Zugangsdaten und Informationen zu stehlen, illegale Banküberweisungen über die IP-Adresse des Opfers auszulösen oder Ransomware zu installieren. Diese eine Kampagne über Emotet allein traf im Juli 2020 rund fünf Prozent der Unternehmen weltweit.

Spear-Phishing und Visual-Basic-Script

Qbot startet seine Angriffe mit einer gezielt erstellten E-Mail an das Opfer – Unternehmen und Personen – die einen Link zu einer zip-Datei enthält. Darin befindet sich eine verseuchte Visual-Basic-Script-Datei (vbs) mit Schadcode. Sobald der Computer infiziert wurde, startet Qbot das "email-collector-module", um alle E-Mails eines Outlook-Postfachs auszulesen und zu einem hardcodierten Remote Server hochzuladen. Die gestohlenen Nachrichten werden dann für künftige Malspam-Kampagnen missbraucht, um Spam-Mails besser auf die Zielpersonen zuzuschneiden. Die Sicherheitsforscher haben bereits Betreffzeilen mit den Themen Covid-19, Steuerzahlungsaufforderung und Stellenausschreibung gefunden.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, erklärt: "Unsere Erkenntnisse zeigen, wie sogar alte Malware mit neuen Funktionen aktualisiert werden kann, um sie zu einer gefährlichen und anhaltenden Bedrohung zu machen. Die Hacker, die hinter Qbot stehen, investieren massiv in seine Entwicklung, um Datendiebstahl von Organisationen und Einzelpersonen in großem Umfang zu ermöglichen.

Wir haben aktive Malspam-Kampagnen gefunden, wobei Qbot direkt verbreitet wurde, und andere, wobei die Nutzung der Infrastruktur dritter Programme, wie Emotet, genutzt wurde, um die Bedrohung noch weiter zu streuen. Wir hoffen, dass unsere Beobachtungen und Forschungen über Qbot dazu beitragen werden, der Bedrohung ein Ende zu setzen. Vorerst empfehle ich dringend, E-Mails genau unter die Lupe zu nehmen und auf verdächtige Anzeichen zu achten, die auf einen Phishing-Versuch hindeuten – selbst wenn die E-Mail von einer eigentlich vertrauenswürdigen Quelle zu stammen scheint."

Außerdem weisen die Sicherheitsforscher darauf hin, dass eine zentral gesteuerte IT-Sicherheitsarchitektur vor diesen Angriffen wirksam schützt, solange die Bedrohung aktiv ist. Am besten sollte diese sogar gegen Zero-Day-Attacken schützen und an eine Threat-Intelligence-Cloud angeschlossen sein, die in Echtzeit Bedrohungsdaten aus aller Welt liefert, um die Sicherheitslösungen aktuell zu halten.
27.08.2020/dr

Tipps & Tools

Sensible Zugriffsschlüssel öffentlich im Netz [22.09.2020]

Digital Shadows hat untersucht, in welchem Ausmaß firmeninterne Zugriffsschlüssel im Rahmen der Softwareentwicklung unbeabsichtigt auf Kollaborationsplattformen und Code-Hostern veröffentlicht werden. Über 30 Tage hinweg scannten die Analysten mehr als 150 Millionen Entitäten auf GitHub, GitLab und Pastebin. Das Ergebnis: fast 800.000 exponierte Zugriffsschlüssel. [mehr]

Vorschau Oktober 2020: Berechtigungs- und Identitätsmanagement [21.09.2020]

Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die die Sicherheit erhöhen und Nutzern die nötige Flexibilität geben. Im Oktober-Heft zeigen wir, wie Zero-Trust-Strategien vom Identity- und Access-Management profitieren und was die quelloffene Software OpenIAM zu bieten hat. Auch erfahren Sie, wie Sie die Zwei-Faktor-Authentifizierung mit FIDO2 und Single-Sign-on mit VMware Workspace One einrichten. [mehr]

Fachartikel

Missbrauch privilegierter Accounts verhindern (3) [21.09.2020]

IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im dritten Teil des Workshops stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen