Zu Hauptinhalt springen
Kontakt Impressum Datenschutz
Startseite UR

Aktuelles

Qakbot tritt in Emotets Fußstapfen

Emotet hatte Phishing mit seinen Dynamit-Phishing-Mails auf ein neues Niveau gehoben. Diese Mails kamen von bekannten Absendern und zitierten sogar eigene E-Mails des Empfängers, um ihn zum Öffnen des angehängten Office-Dokuments zu bewegen. Nach der Zerschlagung der Emotet-Infrastruktur übernimmt jetzt offenbar Qakbot dessen Tricks. Die Malware "Qakbot" alias "Quakbot" oder "Qbot" ist wieder vermehrt im Umlauf.
 

Alte Tricks immer noch erfolgreich

Derzeit verzeichnet das LSI ein stark erhöhtes Aufkommen schadhafter E-Mails, die im Zusammenhang mit dem Schadcode QakBot stehen. Wie auch Emotet war Qakbot ursprünglich auf Online-Banking-Betrug spezialisiert und hat sich im Lauf der Zeit dann weiterentwickelt. Dabei hat der Schädling vor allem seine Fähigkeit zum Diebstahl von Passwörtern und anderen Informationen ausgebaut. Wie eine aktuelle Analyse zeigt, fährt die Qakbot-Bande mittlerweile jedoch verstärkt eigene Phishing-Mail-Kampagnen und setzt dabei ebenfalls auf bösartige Office-Dateien, die Makros enthalten, um den Rechner des Empfängers zu infizieren. Ziel dieser Kampagne ist es, Zugriff auf die entsprechenden Endgeräte und schließlich auf ganze Netze zu erlangen.
 

Genaue Vorgehensweise

Um die Infektion in Gang zu setzen, muss der Empfänger die Office-Datei öffnen und dann noch auf "Inhalt aktivieren" klicken. Dazu stellte Emotet mit zuvor bei anderen Opfern gestohlenen E-Mails einen Vertrauen erweckenden Kontext her. Auch Qakbot durchsucht mittlerweile ein spezielles E-Mail-Collector-Modul die Rechner seiner Opfer nach Microsoft Outlook, um dort dessen E-Mails abzugreifen. Aus diesen erstellen die Kriminellen dann später speziell auf den jeweiligen Empfänger zugeschnittene Mails mit weiteren Office-Trojanern. Das "Inhalt aktivieren" dient dabei vorgeblich dazu, den angeblich gesicherten Inhalt zu entschlüsseln.
Damit sorgt Qakbot dafür, dass die Zerschlagung der Emotet-Infrastruktur zu keinem merklichen Rückgang der Bedrohung der Ransomware geführt hat.
 

Handlungsempfehlung für UR-Mitglieder

Für Sie als Benutzer ist es wichtig eine beständige und erhöhte Wachsamkeit zu haben, vor allem das kritische Hinterfragen bei unbekannten Mailsendern:

  • Seien Sie besonders achtsam bei E-Mails, die im Betreff eine [EXT]-Kennzeichnung führen.
  • Wenn Sie irgendwelche Zweifel haben, ob eine E-Mail "echt" ist - belassen Sie diese (ungeöffnet) für 2-3 Tage im Posteingang. Unser E-Mail-Scanner kann diese E-Mails als Schadsoftware erkennen und verschiebt sie in die Quarantäne.E-Mail-Adressen.
  • Klicken Sie nicht auf weiterführende Links und öffnen Sie niemals verdächtige Anhänge der E-Mail!

Bei Hinweisen auf eine derartige Infektion bzw. verdächtiges Systemverhalten sollten Sie dies dem Servicedesk des Rechenzentrums (servicedesk@uni-regensburg.de oder 0941 943 5555) melden, um das Ausmaß einer etwaigen Kompromittierung zu prüfen, einzudämmen und effektiv begegnen zu können.

Elena Kellinghaus - 12.10.2022 14:56

Elena Kellinghaus - 06.11.2023 07:39

  1. Universität

Informationssicherheit

IT-Sicherheit

Datenschutz