Wenn der QakBot zweimal klingelt

Nicht immer ist es schön, alte Bekannte wiederzusehen. Vor allem dann nicht, wenn sie um halb sechs Uhr morgens an der Tür klingeln, Ihr gesamtes Haus durchwühlen und dann auch noch eine ganze Bande an Bekannten hereinlassen, die Sie ausrauben. So oder so ähnlich verhält es sich mit der Malware QakBot – auch QBot oder Pinkslipbot genannt –, die zum ersten Mal im Jahr 2007 entdeckt wurde und seit einigen Monaten wieder vermehrt auftaucht.

QakBot begann als Banking-Trojaner samt Keylogger und tritt nun vor allem als sogenannter Infostealer in Erscheinung, der über Spam-E-Mails verbreitet und mit weiterer Malware gebündelt wird, beziehungsweise diese herunterlädt. Hauptziel war seit Januar 2020 vor allem das Gesundheitswesen in den USA, aber auch andere Branchen in weiteren Ländern waren und sind betroffen. 

Die zwei Gesichter des QakBot 

QakBot ist bisher auf zwei verschiedene Arten in Erscheinung getreten.

Einerseits wird QakBot mit verseuchten Microsoft-Office-Anhängen gebündelt, über die Angriffe auf die betroffenen Unternehmen ausgeführt werden. QakBot nistet sich dabei zunächst in Temp-Ordnern sowie Netzwerkordnern ein, repliziert sich und legt Autostart-Einträge an.

Durch Letzteres wird unter anderem ein Task angelegt, der den Schadcode täglich um 5:33 Uhr morgens ausführt und danach wieder löscht. Dieser Schadcode liest dabei die IP-Adresse, den Hostnamen, den Benutzernamen, die Betriebssystem-Version sowie Bankdaten ausUnter Einsatz von WebInject, einem Tool, das eigentlich für automatisierte Tests von Web-Anwendungen entwickelt wurde, greift QakBot dann in die Kommunikation zwischen dem infizierten Computer und Banking-Webseiten ein und greift die Nutzerdaten ab.

Andererseits arbeitet QakBot in Kombination mit der Ransomware ProLock, wobei QakBot in diesem Fall als Türöffner dient. QakBot verbindet sich mit einem gekaperten Postfach und verwertet die dort enthaltenen E-Mails und Kontakte, indem es individuelle Antworten an die Absender verschickt. Ähnlich wie bei Emotet klinkt sich QakBot dabei in bestehende Kommunikationsverläufe ein, was das Erkennen der Angriffe besonders schwer macht.

QakBot-verseuchte E-Mails enthalten Links, die auf kompromittierte Websites zeigen, von denen dann verseuchte Dateien heruntergeladen werden sollen. Durch das Ausführen dieser Dateien wird dann mittels PowerShell die Ransomware heruntergeladen. Genauer gesagt wird die Ransomware aus einer vermeintlichen BMP-, PNG- oder JPG-Datei extrahiert und wiederum per PowerShell in den Speicher geladen.

Die Kriminellen reagieren schnell

So geschehen bei Diebold Nixdorf in Ohio, USA, einem Dienstleister und Hersteller von IT-Systemen für Banken und Handelsunternehmen, Geldautomaten und Kassensystemen, der im April 2020 Opfer von QakBot und ProLock wurde.  

Besonders beeindruckend ist auch die Reaktionsgeschwindigkeit der Kriminellen: Wurden anfangs noch /wpcontent-Pfade genutzt, so wurden diese – offensichtlich nach Anpassungen bei Spamfiltern – zuletzt nicht mehr verwendet. Auch bei Dateinamen und -typen reagierten die Angreifer schnell und flexibel auf die Gegenreaktion der Spamfilter, indem sie beispielsweise von VBS-Dateien auf Word-Makros und wieder zurück schwenkten.

Wie können Sie sich vor QakBot schützen?

Wie auch bei Emotet sind die Angriffe durch QakBot deshalb so perfide, weil sie auf vorangegangene Konversationen Bezug nehmen und authentisch aussehende Antworten verfasst werden. Eine umfassende Sensibilisierung von Mitarbeitern ist deshalb der erste Schritt, um den Erfolg solcher Angriffe zu verhindern und ihr Unternehmen zu schützen.

Dies ist vor allem deshalb wichtig, weil die Qualität der gefälschten E-Mails immer höher wird und sich diese immer homogener in bestehende Kommunikationsverläufe einfügen. Nur so können “Schnellklicker” davon abgehalten werden, durch unüberlegtes Öffnen von Dateien ganze IT-Infrastrukturen mit Malware oder Ransomware zu infizieren.

Dennoch ist es unumgänglich, eine leistungsfähige E-Mail-Firewall zu Schutz vor Spam und Malware einzusetzen, die Gefahren von vornherein abwehrt. NoSpamProxy bietet zahlreiche Features, die Sie vor Angriffen mit Malware wie QakBot oder Emotet schützen.

Ohne E-Mail-Firewall geht es nicht

Ein Beispiel hierfür ist der URL Safeguard, der das Umschreiben oder Blockieren von URLs in eingehenden E-Mails ermöglicht und die jeweilige URL zum Zeitpunkt des Anklickens durch den Nutzer jedes Mal erneut daraufhin prüft, ob die sie zu einem Schadziel führt. Wird die URL als gefährlich eingestuft, wird der Zugriff unterbundenBlockierte URLs können durch den Administrator wieder freigegeben werden; bis dahin können auch oben erwähnte Schnellklicker keinen Schaden verursachen. 

Der Reputationsfilter bewertet die Absenderreputation durch Überprüfen der SPF-, DKIM- und DMARC-Einträge und weist gefälschte E-Mails in den allermeisten Fällen ab – ganz egal, wie gut die E-Mail optisch und inhaltlich gemacht ist. 

Der Inhaltsfilter in NoSpamProxy bietet wiederum die Möglichkeit, bestimmte Dateitypen wie beispielsweise ausführbare Dateien oder Word-Dokumente mit Makros zu sperren, mit Hilfe von Content Disarm and Reconstruction (CDR) alle Word-, Excel und PDF-Dateien in ungefährliche PDFs zu verwandeln oder die gesamte E-Mail abzuweisen.

Zuverlässiger Schutz vor QakBot – mit NoSpamProxy

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor QakBotEmotet und anderer Malware. Weitere Funktionen zur E-Mail-Verschlüsselung sorgen dafür, dass Ihre gesamte E-Mail-Kommunikation rundum abgesichert ist. Fordern Sie jetzt Ihre Testversion an!