• Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
  • UNTERNEHMEN
    • Team
    • Referenzen
    • Karriere
    • Kontakt
  • EVENTS
    • Events
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
  • Vor QakBot schützen

Wenn der QakBot zweimal klingelt

Nicht immer ist es schön, alte Bekannte wiederzusehen. Vor allem dann nicht, wenn sie um halb sechs Uhr morgens an der Tür klingeln, Ihr gesamtes Haus durchwühlen und dann auch noch eine ganze Bande an Bekannten hereinlassen, die Sie ausrauben. So oder so ähnlich verhält es sich mit der Malware QakBot – auch QBot oder Pinkslipbot genannt –, die zum ersten Mal im Jahr 2007 entdeckt wurde und seit einigen Monaten wieder vermehrt auftaucht.

QakBot begann als Banking-Trojaner samt Keylogger und tritt nun vor allem als sogenannter Infostealer in Erscheinung, der über Spam-E-Mails verbreitet und mit weiterer Malware gebündelt wird, beziehungsweise diese herunterlädt. Hauptziel war seit Januar 2020 vor allem das Gesundheitswesen in den USA, aber auch andere Branchen in weiteren Ländern waren und sind betroffen. 

Die zwei Gesichter des QakBot 

QakBot ist bisher auf zwei verschiedene Arten in Erscheinung getreten.

Einerseits wird QakBot mit verseuchten Microsoft-Office-Anhängen gebündelt, über die Angriffe auf die betroffenen Unternehmen ausgeführt werden. QakBot nistet sich dabei zunächst in Temp-Ordnern sowie Netzwerkordnern ein, repliziert sich und legt Autostart-Einträge an.

Durch Letzteres wird unter anderem ein Task angelegt, der den Schadcode täglich um 5:33 Uhr morgens ausführt und danach wieder löscht. Dieser Schadcode liest dabei die IP-Adresse, den Hostnamen, den Benutzernamen, die Betriebssystem-Version sowie Bankdaten aus. Unter Einsatz von WebInject, einem Tool, das eigentlich für automatisierte Tests von Web-Anwendungen entwickelt wurde, greift QakBot dann in die Kommunikation zwischen dem infizierten Computer und Banking-Webseiten ein und greift die Nutzerdaten ab.

Andererseits arbeitet QakBot in Kombination mit der Ransomware ProLock, wobei QakBot in diesem Fall als Türöffner dient. QakBot verbindet sich mit einem gekaperten Postfach und verwertet die dort enthaltenen E-Mails und Kontakte, indem es individuelle Antworten an die Absender verschickt. Ähnlich wie bei Emotet klinkt sich QakBot dabei in bestehende Kommunikationsverläufe ein, was das Erkennen der Angriffe besonders schwer macht.

QakBot-verseuchte E-Mails enthalten Links, die auf kompromittierte Websites zeigen, von denen dann verseuchte Dateien heruntergeladen werden sollen. Durch das Ausführen dieser Dateien wird dann mittels PowerShell die Ransomware heruntergeladen. Genauer gesagt wird die Ransomware aus einer vermeintlichen BMP-, PNG- oder JPG-Datei extrahiert und wiederum per PowerShell in den Speicher geladen.

Die Kriminellen reagieren schnell

So geschehen bei Diebold Nixdorf in Ohio, USA, einem Dienstleister und Hersteller von IT-Systemen für Banken und Handelsunternehmen, Geldautomaten und Kassensystemen, der im April 2020 Opfer von QakBot und ProLock wurde.  

Besonders beeindruckend ist auch die Reaktionsgeschwindigkeit der Kriminellen: Wurden anfangs noch /wpcontent-Pfade genutzt, so wurden diese – offensichtlich nach Anpassungen bei Spamfiltern – zuletzt nicht mehr verwendet. Auch bei Dateinamen und -typen reagierten die Angreifer schnell und flexibel auf die Gegenreaktion der Spamfilter, indem sie beispielsweise von VBS-Dateien auf Word-Makros und wieder zurück schwenkten.

Wie können Sie sich vor QakBot schützen?

Wie auch bei Emotet sind die Angriffe durch QakBot deshalb so perfide, weil sie auf vorangegangene Konversationen Bezug nehmen und authentisch aussehende Antworten verfasst werden. Eine umfassende Sensibilisierung von Mitarbeitern ist deshalb der erste Schritt, um den Erfolg solcher Angriffe zu verhindern und ihr Unternehmen zu schützen.

Dies ist vor allem deshalb wichtig, weil die Qualität der gefälschten E-Mails immer höher wird und sich diese immer homogener in bestehende Kommunikationsverläufe einfügen. Nur so können “Schnellklicker” davon abgehalten werden, durch unüberlegtes Öffnen von Dateien ganze IT-Infrastrukturen mit Malware oder Ransomware zu infizieren.

Dennoch ist es unumgänglich, eine leistungsfähige E-Mail-Firewall zu Schutz vor Spam und Malware einzusetzen, die Gefahren von vornherein abwehrt. NoSpamProxy bietet zahlreiche Features, die Sie vor Angriffen mit Malware wie QakBot oder Emotet schützen.

Ohne E-Mail-Firewall geht es nicht

Ein Beispiel hierfür ist der URL Safeguard, der das Umschreiben oder Blockieren von URLs in eingehenden E-Mails ermöglicht und die jeweilige URL zum Zeitpunkt des Anklickens durch den Nutzer jedes Mal erneut daraufhin prüft, ob die sie zu einem Schadziel führt. Wird die URL als gefährlich eingestuft, wird der Zugriff unterbunden. Blockierte URLs können durch den Administrator wieder freigegeben werden; bis dahin können auch oben erwähnte Schnellklicker keinen Schaden verursachen. 

Der Reputationsfilter bewertet die Absenderreputation durch Überprüfen der SPF-, DKIM- und DMARC-Einträge und weist gefälschte E-Mails in den allermeisten Fällen ab – ganz egal, wie gut die E-Mail optisch und inhaltlich gemacht ist. 

Der Inhaltsfilter in NoSpamProxy bietet wiederum die Möglichkeit, bestimmte Dateitypen wie beispielsweise ausführbare Dateien oder Word-Dokumente mit Makros zu sperren, mit Hilfe von Content Disarm and Reconstruction (CDR) alle Word-, Excel und PDF-Dateien in ungefährliche PDFs zu verwandeln oder die gesamte E-Mail abzuweisen.

Zuverlässiger Schutz vor QakBot – mit NoSpamProxy

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor QakBot, Emotet und anderer Malware. Weitere Funktionen zur E-Mail-Verschlüsselung sorgen dafür, dass Ihre gesamte E-Mail-Kommunikation rundum abgesichert ist. Fordern Sie jetzt Ihre Testversion an! 

NoSpamProxy 30 Tage kostenfrei testen

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Knowledge Base

Knowledge Base

Hinweis: Die Informationen in dieser Knowledge Base gelten nur für NoSpamProxy bis Version 13.2. Sämtliche Informationen für NoSpamProxy 14 und höher finden Sie in der Online-Dokumentation.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Info IconKritische Outlook-Schwachstelle: Keine Gefahr für NoSpamProxy-Kunden24.03.2023 - 15:08
  • Standardfiltereinstellungen in NoSpamProxy 1422.03.2023 - 10:00
  • NoSpamProxy Update BannerGlobal Rollout NoSpamProxy Version 14.0.515.03.2023 - 15:20
IMPRESSUM • EULA • Datenschutzerklärung • © 2023 Net at Work GmbH
  • Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
So schützen sich Gesundheitseinrichtungen vor CyberattackenSo schützen sich Gesundheitseinrichtungen vor CyberattackenWechsel von Symantec zu NoSpamProxyPreisvorteil zur Ablösung von Symantec Mail Security Produkten
Scroll to top