von Redaktion IT-A…
Lesezeit
1 Minute
Qbot auf dem Vormarsch
Sicherheitsforscher von Check Point warnen vor dem Trojaner Qbot. Derzeit gibt es weltweit rund 100.000 bestätigte Opfer der Malware, was sie zur weitverbreitetsten Schad-Software macht. Qbot infiziert Outlook-Postfächer um E-Mails zu sammeln, auszuwerten und sich in lukrative Konversationen einzuklinken.
Mittels des manipulierten E-Mail-Verkehrs versucht die Malware laut Check Point [1] dann, Zugangsdaten abzugreifen. Am häufigsten treffen die Attacken die USA mit 29 Prozent, danach kommen Indien, Israel und Italien mit 7 Prozent auf Platz zwei, gefolgt von Deutschland und der Türkei auf Platz 3 mit jeweils 6 Prozent. Qbot ist seit 2008 bekannt und auf Browser-Daten und Online-Banking-Daten spezialisiert. Die aktuelle Version ist stark verbessert worden.
Zwischen März und August 2020 haben die Sicherheitsforscher mehrere Kampagnen entdeckt. Bei einer davon wurde Qbot über das berüchtigte Emotet-Bot-Netz ausgeliefert, das ebenfalls als Banking-Trojaner arbeiten kann und umfangreich in seinen Funktionen erweitert wurde. Aus diesem Grund gehen die Sicherheitsforscher davon aus, dass auch Qbot neue Funktionen erhalten hat und die Command-and-Control-Server-Infrastruktur erneuert wurde. Die Malware mauserte sich nun zum Multi-Funktions-Werkzeug, da es in der Lage ist, Zugangsdaten und Informationen zu stehlen, illegale Banküberweisungen über die IP-Adresse des Opfers auszulösen oder Ransomware zu installieren. Diese eine Kampagne über Emotet allein traf im Juli 2020 rund fünf Prozent der Unternehmen weltweit.
Spear-Phishing und Visual-Basic-Script
Qbot startet seine Angriffe mit einer gezielt erstellten E-Mail an das Opfer – Unternehmen und Personen – die einen Link zu einer zip-Datei enthält. Darin befindet sich eine verseuchte Visual-Basic-Script-Datei (vbs) mit Schadcode. Sobald der Computer infiziert wurde, startet Qbot das "email-collector-module", um alle E-Mails eines Outlook-Postfachs auszulesen und zu einem hardcodierten Remote Server hochzuladen. Die gestohlenen Nachrichten werden dann für künftige Malspam-Kampagnen missbraucht, um Spam-Mails besser auf die Zielpersonen zuzuschneiden. Die Sicherheitsforscher haben bereits Betreffzeilen mit den Themen Covid-19, Steuerzahlungsaufforderung und Stellenausschreibung gefunden.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, erklärt: "Unsere Erkenntnisse zeigen, wie sogar alte Malware mit neuen Funktionen aktualisiert werden kann, um sie zu einer gefährlichen und anhaltenden Bedrohung zu machen. Die Hacker, die hinter Qbot stehen, investieren massiv in seine Entwicklung, um Datendiebstahl von Organisationen und Einzelpersonen in großem Umfang zu ermöglichen.
Wir haben aktive Malspam-Kampagnen gefunden, wobei Qbot direkt verbreitet wurde, und andere, wobei die Nutzung der Infrastruktur dritter Programme, wie Emotet, genutzt wurde, um die Bedrohung noch weiter zu streuen. Wir hoffen, dass unsere Beobachtungen und Forschungen über Qbot dazu beitragen werden, der Bedrohung ein Ende zu setzen. Vorerst empfehle ich dringend, E-Mails genau unter die Lupe zu nehmen und auf verdächtige Anzeichen zu achten, die auf einen Phishing-Versuch hindeuten – selbst wenn die E-Mail von einer eigentlich vertrauenswürdigen Quelle zu stammen scheint."
Außerdem weisen die Sicherheitsforscher darauf hin, dass eine zentral gesteuerte IT-Sicherheitsarchitektur vor diesen Angriffen wirksam schützt, solange die Bedrohung aktiv ist. Am besten sollte diese sogar gegen Zero-Day-Attacken schützen und an eine Threat-Intelligence-Cloud angeschlossen sein, die in Echtzeit Bedrohungsdaten aus aller Welt liefert, um die Sicherheitslösungen aktuell zu halten.
dr
[1] https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/
Zwischen März und August 2020 haben die Sicherheitsforscher mehrere Kampagnen entdeckt. Bei einer davon wurde Qbot über das berüchtigte Emotet-Bot-Netz ausgeliefert, das ebenfalls als Banking-Trojaner arbeiten kann und umfangreich in seinen Funktionen erweitert wurde. Aus diesem Grund gehen die Sicherheitsforscher davon aus, dass auch Qbot neue Funktionen erhalten hat und die Command-and-Control-Server-Infrastruktur erneuert wurde. Die Malware mauserte sich nun zum Multi-Funktions-Werkzeug, da es in der Lage ist, Zugangsdaten und Informationen zu stehlen, illegale Banküberweisungen über die IP-Adresse des Opfers auszulösen oder Ransomware zu installieren. Diese eine Kampagne über Emotet allein traf im Juli 2020 rund fünf Prozent der Unternehmen weltweit.
Spear-Phishing und Visual-Basic-Script
Qbot startet seine Angriffe mit einer gezielt erstellten E-Mail an das Opfer – Unternehmen und Personen – die einen Link zu einer zip-Datei enthält. Darin befindet sich eine verseuchte Visual-Basic-Script-Datei (vbs) mit Schadcode. Sobald der Computer infiziert wurde, startet Qbot das "email-collector-module", um alle E-Mails eines Outlook-Postfachs auszulesen und zu einem hardcodierten Remote Server hochzuladen. Die gestohlenen Nachrichten werden dann für künftige Malspam-Kampagnen missbraucht, um Spam-Mails besser auf die Zielpersonen zuzuschneiden. Die Sicherheitsforscher haben bereits Betreffzeilen mit den Themen Covid-19, Steuerzahlungsaufforderung und Stellenausschreibung gefunden.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, erklärt: "Unsere Erkenntnisse zeigen, wie sogar alte Malware mit neuen Funktionen aktualisiert werden kann, um sie zu einer gefährlichen und anhaltenden Bedrohung zu machen. Die Hacker, die hinter Qbot stehen, investieren massiv in seine Entwicklung, um Datendiebstahl von Organisationen und Einzelpersonen in großem Umfang zu ermöglichen.
Wir haben aktive Malspam-Kampagnen gefunden, wobei Qbot direkt verbreitet wurde, und andere, wobei die Nutzung der Infrastruktur dritter Programme, wie Emotet, genutzt wurde, um die Bedrohung noch weiter zu streuen. Wir hoffen, dass unsere Beobachtungen und Forschungen über Qbot dazu beitragen werden, der Bedrohung ein Ende zu setzen. Vorerst empfehle ich dringend, E-Mails genau unter die Lupe zu nehmen und auf verdächtige Anzeichen zu achten, die auf einen Phishing-Versuch hindeuten – selbst wenn die E-Mail von einer eigentlich vertrauenswürdigen Quelle zu stammen scheint."
Außerdem weisen die Sicherheitsforscher darauf hin, dass eine zentral gesteuerte IT-Sicherheitsarchitektur vor diesen Angriffen wirksam schützt, solange die Bedrohung aktiv ist. Am besten sollte diese sogar gegen Zero-Day-Attacken schützen und an eine Threat-Intelligence-Cloud angeschlossen sein, die in Echtzeit Bedrohungsdaten aus aller Welt liefert, um die Sicherheitslösungen aktuell zu halten.
dr
[1] https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/
