QakBot und HTML-Anhänge – eine gefährliche Kombination

Autor: Micha PekrulSaaS Platform ManagerAuf LinkedIn vernetzen

Bereits Anfang März 2022 haben wir im NoSpamProxy-Blog über die unterschätzte Gefahr von HTML-Anhängen berichtet. Als einen der vielen möglichen Angriffsvektoren, die sich aus der Verwendung von HTML-Anhängen und JavaScript ergeben, haben wir damals „HTML Smuggling“ skizziert. Und genau dieses wird nun auch in Kombination mit der Malware QakBot in Spam-E-Mails verwendet.

27.07.2022|zuletzt aktualisiert:25.10.2022

Microsoft hat bereits im Februar 2022 angekündigt, in Office-Dokumenten die Ausführung von Makro-Funktionalität zu verhindern, wenn diese Dokumente aus dem Internet stammen. Anfang Juli stoppte Microsoft den angekündigten Rollout temporär und machte ihn dann rückgängig, um schließlich am 20. Juli mit besagtem Rollout fortzufahren. In der Zwischenzeit haben sich die Malware-Autoren um neue Social-Engineering-Mechanismen abseits von Office-Dokumenten bemüht und planen bereits für die Zeit ohne das bewährte Vehikel Makro-Funktionalität vor.

Digitale Matrjoschka im großen HTML-Anhang untergeschoben

Im Juli fing QakBot damit an, HTML-Anhänge mit Namen wie „FXS_3733007.html“, „TXRTN_2143642.html“ oder „Report Jul 14 39523.html“ sowie ein recht ansprechendes „Adobe Template“ einzusetzen. Auffällig waren die mit über 1 MB für Spam recht großen Anhänge. In der Regel möchte man als Spammer in kurzer Zeit möglichst viele Empfänger erreichen, bevor der Anhang durch Anti-Malware Produkte erkannt wird. Hinter einem so großen HTML-Anhang muss sich also mehr verbergen, als auf den ersten Blick erkennbar.

Besagte HTML-Anhänge wurden im Rahmen von sogenannten „Email Reply Chain Attacks“ eingesetzt, also fingierten Antworten auf authentische E-Mail-Kommunikation, welche zuvor ausgeleitet wurde. So stellen die Angreifer sicher, dass sich das potentielle Opfer in Sicherheit wähnt, da es die ursprüngliche E-Mail ja wirklich versendet hat. Die Antwort mit dem HTML-Anhang stammt dann allerdings vom Angreifer.

Per Doppelklick in den Downloads-Ordner geschmuggelt

Nach einem Doppelklick öffnen sich die HTML-Anhänge im Browser und der Download beginnt bequemerweise automatisch, und ohne weitere Interaktion wird die „geschmuggelte Datei“ im HTML-Dokument aus diesem in den „Downloads-Ordner“ geladen. Da das angebliche PDF-Dokument nicht dargestellt werden kann, wird auf diesen Download verwiesen.

  • HTML-Anhänge wie „FXS_3733007.html“ wurden am 8. Juli gespammt.

    QakBot und HTML Anhänge eine gefaehrliche Kombination Adobe PassZIP ISO Browser FXS July8

  • HTML-Anhänge wie „TXRTN_2143642.html“ wurden am 11. Juli gespammt.

    QakBot und HTML Anhänge eine gefährliche Kombination Adobe PassZIP ISO Browser Report Jul July14

  • HTML-Anhänge wie „Report Jul 14 39523.html“ wurden am 14. Juli gespammt.

    QakBot und HTML Anhänge eine gefährliche Kombination Adobe PassZIP ISO Browser TXRTN July11
123

Bei Archiven sind viele Malware-Scanner machtlos

Der Download ist ein passwortgeschütztes ZIP-Archiv, welches sich in der HTML-Datei befindet. Praktischerweise wird das Passwort dann auch gleich im Browser präsentiert. Auf Grund des Passwortschutzes ist das Archiv für Malware-Scanner ohne On-Access-Komponente nicht als bösartig zu identifizieren, da diese ohne das Passwort nicht das Archivinnere scannen können.

QakBot und HTML Anhänge eine gefährliche Kombination Adobe PassZIP ISO FileInsight

HTML-Anhang im Editor analysiert. In der Variablen „text“ befindet sich ein Base64-kodierter String, welcher das passwortgeschützte ZIP-Archiv enthält, welches wiederum ein ISO-Image enthält.

Im Archiv selbst befindet sich in einem Unterordner dann ein ISO-Image. Ganz wie bei einer Matrjoschka findet man beim digitalen Pendant immer eine weitere Überraschung, je tiefer man gräbt.

QakBot und HTML Anhänge eine gefährliche Kombination Adobe PassZIP ISO Content

Der „versteckte“ Inhalt im ISO-Image mit allen Dateiendungen.

Wenn man das ISO-Image aus unserem Beispiel mit einem Doppelklick in Windows öffnet, sieht man zunächst nur eine Datei mit dem Namen „Report Jul 14 48544“. Erst wenn man sich auch die „versteckten“ Dateien sowie die bekannten Dateiendungen einblenden lässt, erkennt man hier, dass es sich bei der Datei um eine bösartige LNK-Datei handelt. Diese startet aber nur ein „calc.exe“.

QakBot und HTML Anhänge eine gefährliche Kombination Adobe PassZIP ISO VirusTotal

VirusTotal Übersicht der Dateien im ISO Image

Quelle: VirusTotal

Das „calc.exe“ ist ein älteres, aber legitimes Windows-Programm und stammt aus Windows 7. Die „WindowsCodecs.dll“ ist aber bösartig. Der Trick, welcher hier zum Einsatz kommt, ist als „DLL Search Order Hijacking“ bekannt und führt dazu, dass Windows beim Start von „calc.exe“ nicht das Windows-eigene „WindowsCodecs.dll“ lädt und ausführt, sondern das von den QakBot-Autoren im gleichen Pfad hinterlegte DLL mit demselben Namen. Eine Analyse findet sich auch hier.

Nichts neues: Email Firewalls sind ein Muss

Grundsätzlich propagieren wir seit Ende 2018 die sogenannte „Email Firewall“ und empfehlen, alle Dateien standardmäßig zu verbieten und nur selektiv – wie bei einer Firewall – einzelne benötigte Formate zu erlauben. Spätestens jetzt, nachdem QakBot das „HTML Smuggling“ für sich entdeckt hat, sollte man das Thema auf die Spitze der Prioritätenliste schieben und zumindest die Behandlung von HTML-Anhängen von Partnern ohne Level of Trust deutlich restriktiver behandeln (siehe Handlungsempfehlung hier).

Sie möchten sich vor QuakBot schützen und haben noch kein NoSpamProxy im Einsatz?

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an! 

NoSpamProxy kostenfrei testen
Neuer Termin! Upgrade-Sprechstunden Version 14.0NoSpamProxy 14 unterstützt als erstes Mail-Gateway SMIME 4 PreviewWarum heißt die Blacklist jetzt Blocklist PreviewWarum heißt die Blacklist jetzt Blocklist?