Die neue Version von Qbot kann E-Mail-Threads entführen

Qbot Latest Version Hijacks Email Threads

Die Online-Bedrohungslandschaft ist ein sehr eigenartiger Ort. Es ändert sich ständig und wir sehen neue Namen, während alte jeden Tag ausfallen. In Anbetracht dessen könnte man erwarten, dass eine Malware-Familie, die vor mehr als zehn Jahren aufgetaucht ist, jetzt nichts weiter als eine ferne Erinnerung ist. Wie Check Point- Forscher gestern betonten, ist der Qbot-Banking-Trojaner jedoch ein Beweis dafür, dass dies nicht immer der Fall ist.

Auch als QakBot bekannt, erschien es erstmals im Jahr 2008, aber zwölf Jahre später ist es immer noch stark. Ursprünglich drehte sich die Funktionalität von Qbot um den Diebstahl von Bankkennwörtern und anderen sensiblen Daten. Wie die Forscher jedoch betonten, hat Qbot im Laufe der Jahre so viele zusätzliche Funktionen erhalten, dass es manchmal als "Schweizer Taschenmesser" für Malware bezeichnet wird . Dies bedeutet jedoch nicht, dass die Autoren von Qbot hier aufhören werden. Der Zweck des Check Point-Berichts bestand darin, die neuesten Aktualisierungen des Trojaners detailliert darzustellen.

Sie können einem alten Bot neue Tricks beibringen

Zwischen März und Juni befand sich Qbot mitten in einer großen Kampagne, die sich dann jedoch nicht mehr ausbreitete. Die Experten waren der Meinung, dass die Betreiber der Malware eine Pause eingelegt hatten, um einige Optimierungen und Anpassungen vorzunehmen. Sie hatten erwartet, dass das Update etwas länger dauern würde, aber Ende Juli startete der berüchtigte Emotet-Trojaner eine massive Malspam-Kampagne, und viele der böswilligen Nachrichten enthielten eine neue Version von Qbot. Innerhalb weniger Tage veröffentlichten die Betreiber von Qbot eine weitere Version mit noch mehr neuen Funktionen. Es ist eine große Kampagne, und dank eines neuen Moduls möchten die Hacker sicherstellen, dass ein großer Teil der Personen, die die E-Mail erhalten, mit der Malware infiziert wird.

Zum größten Teil ist die Infektion so ziemlich eine Standard-Qbot-Operation. Das Opfer erhält eine E-Mail mit einem Link zu einem ZIP-Archiv, das auf einer kompromittierten WordPress-Website gehostet wird. Innerhalb der ZIP-Datei findet der Benutzer eine Datei, die beim Öffnen die Infektion auslöst. Bis April haben die Betreiber von Qbot Word-Dokumente mit Makrofunktionen in die schädlichen ZIPs eingefügt. Seitdem haben sie jedoch auf Visual Basic Scripts (VBS) umgestellt. Der VBS kontaktiert eine der Distributionsseiten und lädt die anfängliche Nutzlast herunter, wodurch die Szene für den tatsächlichen Trojaner festgelegt wird. Die anfängliche Nutzlast führt einige Überprüfungen durch, um sicherzustellen, dass sie nicht in einer Sandbox-Umgebung ausgeführt wird, und nimmt einige Registrierungsänderungen vor, um die Persistenz zu erreichen. Wenn sicher ist, dass das Fortfahren sicher ist, wird die Hauptnutzlast von Qbot bereitgestellt.

Die letzten Updates haben keine wesentlichen Änderungen gebracht. Qbot kann weiterhin Passwörter, Kreditkartendaten und andere vertrauliche Informationen stehlen. Es kann sich in das Bankkonto des Opfers einloggen und in dessen Namen Transaktionen durchführen, und es kann auch andere Malware-Stämme installieren, wenn es dazu aufgefordert wird.

Die Experten sagten, dass sie einige andere Module gesehen hätten, die bei der seitlichen Bewegung in einem Netzwerk helfen, aber sie beschlossen, sie nicht näher zu erläutern, weil sie eine neue Funktionalität sahen, die bemerkenswerter war.

Qbot kann Ihre E-Mail-Konversationen entführen

Das neue Modul wurde entwickelt, um ganze Threads von den Outlook-E-Mail-Clients des Opfers zu stehlen. Dies sind bereits schlechte Nachrichten, denn obwohl Experten vor den Gefahren des Austauschs vertraulicher Informationen per E-Mail gewarnt haben, füllen die Benutzer ihre Nachrichten weiterhin mit Daten, die extremen Schaden anrichten können, wenn sie in die falschen Hände geraten.

Die Hacker stehlen jedoch nicht die E-Mail-Threads der Leute, weil sie die Informationen in sich haben wollen. Sie tun dies, damit sie im Namen des Opfers antworten können, das bereits mit Qbot infiziert ist, und den anderen Teilnehmer des Gesprächs dazu verleiten können, die Malware ebenfalls zu installieren. Die Experten von Check Point sagten, sie hätten gesehen, wie die Gauner E-Mail-Threads entführten und böswillige Links in Nachrichten sendeten, die sich um alles von der COVID-19-Pandemie bis hin zu Erinnerungen an Steuerzahlungen drehten.

Dies ist einer der klügsten Schritte der Hacker. Die Leute sind jetzt vorsichtig genug mit E-Mails, die Malware verbreiten, und sie neigen dazu, etwas vorsichtiger mit den Nachrichten umzugehen, die sie in ihren Posteingängen finden. Wenn die Links von einer Person stammen, die sie kennen und mit der sie bereits kommuniziert haben, ist es jedoch viel wahrscheinlicher, dass die Ziele auf sie klicken.

Das neueste Update von Qbot ändert nichts an der Hauptfunktionalität der Malware, zeigt jedoch, dass die Betreiber es keineswegs aufgegeben haben. Obwohl es jetzt mehr als ein Jahrzehnt alt ist, ist es beeindruckender als je zuvor.

August 28, 2020

Antworten