Die neue Version von Qbot kann E-Mail-Threads entführen

Qbot Latest Version Hijacks Email Threads

Die Online-Bedrohungslandschaft ist ein sehr eigenartiger Ort. Es ändert sich ständig und wir sehen neue Namen, während alte jeden Tag ausfallen. In Anbetracht dessen könnte man erwarten, dass eine Malware-Familie, die vor mehr als zehn Jahren aufgetaucht ist, jetzt nichts weiter als eine ferne Erinnerung ist. Wie Check Point- Forscher gestern betonten, ist der Qbot-Banking-Trojaner jedoch ein Beweis dafür, dass dies nicht immer der Fall ist.

Auch als QakBot bekannt, erschien es erstmals im Jahr 2008, aber zwölf Jahre später ist es immer noch stark. Ursprünglich drehte sich die Funktionalität von Qbot um den Diebstahl von Bankkennwörtern und anderen sensiblen Daten. Wie die Forscher jedoch betonten, hat Qbot im Laufe der Jahre so viele zusätzliche Funktionen erhalten, dass es manchmal als "Schweizer Taschenmesser" für Malware bezeichnet wird . Dies bedeutet jedoch nicht, dass die Autoren von Qbot hier aufhören werden. Der Zweck des Check Point-Berichts bestand darin, die neuesten Aktualisierungen des Trojaners detailliert darzustellen.

Sie können einem alten Bot neue Tricks beibringen

Zwischen März und Juni befand sich Qbot mitten in einer großen Kampagne, die sich dann jedoch nicht mehr ausbreitete. Die Experten waren der Meinung, dass die Betreiber der Malware eine Pause eingelegt hatten, um einige Optimierungen und Anpassungen vorzunehmen. Sie hatten erwartet, dass das Update etwas länger dauern würde, aber Ende Juli startete der berüchtigte Emotet-Trojaner eine massive Malspam-Kampagne, und viele der böswilligen Nachrichten enthielten eine neue Version von Qbot. Innerhalb weniger Tage veröffentlichten die Betreiber von Qbot eine weitere Version mit noch mehr neuen Funktionen. Es ist eine große Kampagne, und dank eines neuen Moduls möchten die Hacker sicherstellen, dass ein großer Teil der Personen, die die E-Mail erhalten, mit der Malware infiziert wird.

Zum größten Teil ist die Infektion so ziemlich eine Standard-Qbot-Operation. Das Opfer erhält eine E-Mail mit einem Link zu einem ZIP-Archiv, das auf einer kompromittierten WordPress-Website gehostet wird. Innerhalb der ZIP-Datei findet der Benutzer eine Datei, die beim Öffnen die Infektion auslöst. Bis April haben die Betreiber von Qbot Word-Dokumente mit Makrofunktionen in die schädlichen ZIPs eingefügt. Seitdem haben sie jedoch auf Visual Basic Scripts (VBS) umgestellt. Der VBS kontaktiert eine der Distributionsseiten und lädt die anfängliche Nutzlast herunter, wodurch die Szene für den tatsächlichen Trojaner festgelegt wird. Die anfängliche Nutzlast führt einige Überprüfungen durch, um sicherzustellen, dass sie nicht in einer Sandbox-Umgebung ausgeführt wird, und nimmt einige Registrierungsänderungen vor, um die Persistenz zu erreichen. Wenn sicher ist, dass das Fortfahren sicher ist, wird die Hauptnutzlast von Qbot bereitgestellt.

Die letzten Updates haben keine wesentlichen Änderungen gebracht. Qbot kann weiterhin Passwörter, Kreditkartendaten und andere vertrauliche Informationen stehlen. Es kann sich in das Bankkonto des Opfers einloggen und in dessen Namen Transaktionen durchführen, und es kann auch andere Malware-Stämme installieren, wenn es dazu aufgefordert wird.

Die Experten sagten, dass sie einige andere Module gesehen hätten, die bei der seitlichen Bewegung in einem Netzwerk helfen, aber sie beschlossen, sie nicht näher zu erläutern, weil sie eine neue Funktionalität sahen, die bemerkenswerter war.

Qbot kann Ihre E-Mail-Konversationen entführen

Das neue Modul wurde entwickelt, um ganze Threads von den Outlook-E-Mail-Clients des Opfers zu stehlen. Dies sind bereits schlechte Nachrichten, denn obwohl Experten vor den Gefahren des Austauschs vertraulicher Informationen per E-Mail gewarnt haben, füllen die Benutzer ihre Nachrichten weiterhin mit Daten, die extremen Schaden anrichten können, wenn sie in die falschen Hände geraten.

Die Hacker stehlen jedoch nicht die E-Mail-Threads der Leute, weil sie die Informationen in sich haben wollen. Sie tun dies, damit sie im Namen des Opfers antworten können, das bereits mit Qbot infiziert ist, und den anderen Teilnehmer des Gesprächs dazu verleiten können, die Malware ebenfalls zu installieren. Die Experten von Check Point sagten, sie hätten gesehen, wie die Gauner E-Mail-Threads entführten und böswillige Links in Nachrichten sendeten, die sich um alles von der COVID-19-Pandemie bis hin zu Erinnerungen an Steuerzahlungen drehten.

Dies ist einer der klügsten Schritte der Hacker. Die Leute sind jetzt vorsichtig genug mit E-Mails, die Malware verbreiten, und sie neigen dazu, etwas vorsichtiger mit den Nachrichten umzugehen, die sie in ihren Posteingängen finden. Wenn die Links von einer Person stammen, die sie kennen und mit der sie bereits kommuniziert haben, ist es jedoch viel wahrscheinlicher, dass die Ziele auf sie klicken.

Das neueste Update von Qbot ändert nichts an der Hauptfunktionalität der Malware, zeigt jedoch, dass die Betreiber es keineswegs aufgegeben haben. Obwohl es jetzt mehr als ein Jahrzehnt alt ist, ist es beeindruckender als je zuvor.

Bis Duran
August 28, 2020
News
Deutsch
August 28, 2020
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.