Was ist Qakbot?
Qakbot – auch bekannt unter den Namen “Qbot” und “Pinkslipbot” – ist ein bösartiger Computerwurm und Banking-Trojaner, der erstmals im Jahr 2009 entdeckt wurde. Der Schadcode zielt auf Windows-basierte Systeme ab und ist darauf ausgelegt, vertrauliche Informationen zu sammeln, insbesondere Bankdaten und Anmeldeinformationen. Qakbot verbreitet sich häufig über infizierte E-Mail-Anhänge, bösartige Websites und Peer-to-Peer-Netzwerke.
Die Malware ist in der Lage, eine Vielzahl bösartiger Aktivitäten auszuführen, darunter Keylogging (Aufzeichnung von Tastatureingaben), Datendiebstahl, das Einbauen von Hintertüren in infizierte Systeme sowie die Verbreitung des Schadprogramms selbst. Außerdem ist Qakbot in der Lage, in einem infizierten System zu persistieren, d. h. auch nach einem Neustart des Computers aktiv zu bleiben.
QakBot ist bisher auf zwei verschiedene Arten in Erscheinung getreten: Einerseits wird QakBot mit verseuchten Microsoft-Office-Anhängen gebündelt, über die Angriffe auf die betroffenen Unternehmen ausgeführt werden. Andererseits arbeitet QakBot in Kombination mit der Ransomware ProLock, wobei QakBot in diesem Fall als Türöffner dient.
QakBot-verseuchte E-Mails enthalten Links, die auf kompromittierte Websites zeigen, von denen dann verseuchte Dateien heruntergeladen werden sollen. Durch das Ausführen dieser Dateien wird dann mittels PowerShell die Ransomware heruntergeladen.
Andere Schadsoftware – gleiche Gefahr
Wenn der Qakbot zweimal klingelt schrieben wir an dieser Stelle vor etwa zwei Jahren, und trotz der Abschaltung der etwa 700.000 Qakbot-Drohnen gehen Sicherheitsanalysten davon aus, dass die Command-and-Control-Infrastruktur des Malware-Botnets zwar von den Strafverfolgungsbehörden beschlagnahmt wurden, die Infrastruktur jedoch intakt ist und die Betreiber – offensichtlich erfolgreich – Wege gesucht haben, um weiterhin Schadcode verteilen zu können.
Die Täter wurden dabei durch die Verwendung von bösartigen LNK-Dateien identifiziert, die genauso benannt und formatiert sind wie die zuvor mit Qakbot in Verbindung gebrachten. Dazu gehört ein Dutzend Dateinamen, die den Anschein erwecken, als seien sie eine beispielsweise eine Rechnung oder eine Banküberweisung. Etwa die Hälfte davon ist in italienischer Sprache verfasst, was darauf hindeutet, dass sich das Malware-Botnet in letzter Zeit auf eine bestimmte Region konzentriert. Die LNK-Dateien befinden sich in einem ZIP-Paket, das auch die Remcos-Backdoor enthält, die als legitime Excel-XLL-Zusatzdatei getarnt ist.
Qakbot-Drahtzieher nutzen jetzt Ransomware-as-a-Service
Es scheint zwar, dass der “Malware”-Teil des Botnets ernsthaft gestört wurde; die Angreifer verwenden keine Malware, die zuvor mit Qakbot in Verbindung gebracht wurde. Allerdings scheinen sie stattdessen Kunden des Ransomware-as-a-Service-Anbieters „Cyclops“ geworden zu sein. Diese Gruppe wurde vor kurzem auch durch den Einsatz von RedLine-Malware auffällig.
Sicherheitsexperten sind also skeptisch, denn die Hauptakteure wurden nicht identifiziert und gefasst. Allgemein kann man davon ausgehen, dass die vorhandene Malware für neue Kampagnen verändert werden wird. Die Gefahr bleibt also bestehen und damit die Frage, wie man sich am besten vor solchen Angriffen schützen kann.
E-Mail-Firewalls gegen Qakbot
Es ist außerdem notwendig, eine leistungsfähige E-Mail-Firewall zu Schutz vor Spam und Malware einzusetzen. Diese kann die Gefahren von vornherein abwehrt. NoSpamProxy bietet dafür zahlreiche Features, die Sie vor Angriffen mit Malware wie QakBot schützen.
Mit 32Guards optimal vor Qakbot schützen
Neue Malware-Trends, neuartige Spam-Attacken sowie aufkommende Bedrohungen aller Art erkennt 32Guards in kürzester Zeit. Und 32Guards lernt stetig dazu: Die wachsende Datenbasis ermöglicht es, 32Guards kontinuierlich zu verbessern und an die jeweils aktuelle Bedrohungssituation anzupassen.
32Guards verfolgt dabei – im Gegensatz zu herkömmlichen Cybersecurity-Lösungen – einen globalen Ansatz bei der Analyse der aktuellen Bedrohungen: Die Informationen der einzelnen NoSpamProxy-Instanzen – also beispielsweise Dateiname, Dateigröße oder Hash-Wert – werden durch eine übergeordnete Malware-Intelligenz zusammengeführt und in Echtzeit ausgewertet. Die ermöglicht eine schnelle Analyse und damit auch ein sofortiges Reagieren auf akute Gefahrensituationen.
Zuverlässig vor QakBot schützen – mit NoSpamProxy
Mit NoSpamProxy und dem Service 32Guards schützen Sie Ihr Unternehmen zuverlässig vor Malware wie QakBot. Fordern Sie jetzt Ihre kostenfreie Testversion an!