Totgesagte leben länger : QakBot wiederauferstanden : Fokus aufs Gastgewerbe
Mehr als drei Monate nach dem rigorosen Eingreifen der Strafverfolgungsbehörden zur Zerschlagung der QakBot-Infrastruktur hat Microsoft eine neue Flut von Phishing-Nachrichten entdeckt, die darauf abzielen, die gefährliche QakBot-Malware zu verbreiten.
Mit der Qakbot-Malware ist es wie im berühmten Sprichwort „Totgesagte leben länger“. Trotz der offiziellen Zerschlagung taucht diese Schadsoftware nur wenige Monate später erneut auf und nimmt ihre Opfer ins Visier. Der Angriff beginnt unscheinbar: Laut dem Tech-Giganten Microsoft, der seine Erkenntnisse auf Plattformen wie X (ehemals Twitter) teilte, erhielten die Zielpersonen ein PDF von jemandem, der sich als IRS-Mitarbeiter ausgab.
Das PDF enthielt einen Link, der einen digital signierten Windows Installer (.msi) herunterlud. Wenn dieser Installer ausgeführt wurde, startete Qakbot über die Ausführung einer eingebetteten DLL-Datei namens „hvsi“.
Microsoft berichtete, dass die Malware am selben Tag generiert wurde, an dem die Angriffskampagne begann. Diese Version, gekennzeichnet als 0x500, war zuvor nicht bekannt.
QakBot, auch bekannt als QBot oder Pinkslipbot, wurde während der Operation Duck Hunt gestoppt. Die Behörden erlangten Zugang zu seiner Infrastruktur und wiesen die infizierten Computer an, eine spezielle Deinstallationsdatei herunterzuladen, um die Schadsoftware unwirksam zu machen.
Normalerweise verbreitet sich QakBot über Spam-E-Mails mit bösartigen Anhängen oder Links. Diese Malware hat die Fähigkeit, vertrauliche Informationen abzufangen und zusätzliche schädliche Software, einschließlich Ransomware, zu verbreiten. Im Oktober 2023 deckte Cisco Talos auf, dass QakBot-Mitglieder Phishing-Köder nutzen, um eine Mischung aus Ransomware, Remote-Access-Trojanern und Stealer-Malware zu verbreiten.
Die Wiederkehr von QakBot erinnert an das Comeback von Emotet. Auch diese Malware ist Ende 2021, Monate nach ihrem Abfangen durch die Strafverfolgungsbehörden, wieder aufgetaucht und stellt trotz eines verringerten Aktivitätsniveaus bis heute eine anhaltende Bedrohung dar.
Es bleibt abzuwarten, ob Qakbot zu ihrer früheren Bedrohlichkeit zurückkehren wird. Doch die Widerstandsfähigkeit solcher Botnetze betont die dringende Notwendigkeit für Unternehmen, nicht Opfer von Spam-E-Mails zu werden, die in den Kampagnen von Emotet und QakBot verwendet werden. Dies unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen, um sich gegen diese anhaltenden Bedrohungen zu verteidigen.