QakBot-Taktiken feiern in neuen Phishing-Angriffen Wiederauferstehung
Phishing-Kampagnen, die Malware-Familien wie DarkGate und PikaBot verbreiten, folgen der gleichen Taktik wie die Angriffe mit dem inzwischen eingestellten Trojaner QakBot. Dazu gehören gekaperte E-Mail-Threads als Erstinfektion, URLs mit eindeutigen Mustern, die den Benutzerzugriff einschränken, und eine Infektionskette, die fast identisch ist mit dem, was bei QakBot beobachtet wurde.
QakBot, auch QBot und Pinkslipbot genannt, wurde als Teil einer koordinierten Strafverfolgungsmaßnahme mit dem Codenamen „Operation Duck Hunt“ Anfang August dieses Jahres abgeschaltet. Die neuen Malware-Familien entsprechen nun dem, was man von QakBot-Partnern erwarten würde.
Die Verwendung von DarkGate und PikaBot in diesen Kampagnen ist nicht überraschend, da beide als Kanäle für die Übermittlung zusätzlicher Nutzdaten an kompromittierte Hosts fungieren können. Das macht sie zu einer attraktiven Option für Cyberkriminelle.
Die Parallelen zwischen PikaBot und QakBot wurden bereits von Zscaler in einer Analyse der Malware im Mai 2023 hervorgehoben. Hier wurden Ähnlichkeiten in den „Verbreitungsmethoden, Kampagnen und dem Verhalten der Malware“ festgestellt.
DarkGate wiederum verfügt über fortschrittliche Techniken, um die Erkennung durch Antivirensysteme zu umgehen, sowie über die Fähigkeit, Tastenanschläge zu protokollieren, PowerShell auszuführen und eine Reverse Shell zu implementieren. Letztere ermöglicht, einen infizierten Host aus der Ferne zu beherrschen. Laut einem neuen technischen Bericht über die Malware von Sekoia ist die dafür aufgebaute Verbindung bidirektional. Die Angreifer können also in Echtzeit Befehle senden und Antworten empfangen. Damit sind sie in der Lage, das System des Opfers zu steuern, Daten zu exfiltrieren oder andere bösartige Aktionen durchzuführen.
Eine von Cofense durchgeführte Analyse der groß angelegten Phishing-Kampagne zeigt, dass sie auf eine Vielzahl von Branchen abzielt, wobei die Angriffsketten eine präparierte Fake-URL verbreiten, die auf ein ZIP-Archiv in gekaperten E-Mail-Threads verweist. Das ZIP-Archiv enthält einen JavaScript-Dropper, der wiederum eine zweite URL kontaktiert, um entweder die DarkGate- oder die PikaBot-Malware herunterzuladen und auszuführen. Es wurde auch eine bemerkenswerte Variante der Angriffe beobachtet, bei der Excel-Add-in-Dateien (XLL) anstelle von JavaScript-Droppern verwendet werden, um die endgültigen Nutzdaten zu übermitteln. „Eine erfolgreiche DarkGate- oder PikaBot-Infektion kann zur Auslieferung von fortschrittlicher Krypto-Mining-Software, Erkundungs-Tools, Ransomware oder jeder anderen bösartigen Datei führen, welche die Bedrohungsakteure auf dem Rechner des Opfers installieren wollen“, so Cofense.