Microsoft entdeckt Qakbot-Phishing-Kampagne (Dez. 2023)

Sicherheit (Pexels, allgemeine Nutzung)[English]Eigentlich war ja das Qakbot-Netzwerk von FBI & Co. im August 2023 in einer Beschlagnahmeaktion zerschlagen worden. Jetzt hat Microsoft aber wieder eine neue Qakbot-Phishing-Kampagne gesichtet, die auf das Gastgewerbe zielt. Es deutet sich an, dass die Qakbot-Mitglieder wieder versuchen, ins Geschäft zu kommen. Ich habe mal ein paar Informationen zusammen getragen.


Anzeige

Qakbot: Trojaner und Botnet

Qakbot, auch als  QBot oder Pinkslipbot bekannt, ist eine Malware-Familie, die seit 2007 bekannt bzw. aktiv ist. In der Vergangenheit war Qakbot als Banking-Trojaner bekannt, der Finanzdaten von infizierten Systemen stiehlt. Zudem fungierte Qakbot als Lader (Malware-Dropper), der Malware von C2-Servern auf die Opfersysteme herunterlud. Inzwischen hat sich Qakbot zu einer Schadsoftware entwickelt, die als eine der gefährlichsten weltweit gilt.

Die Infizierung eines mit dem Internet verbundenen Computers mit dem Trojaner geschieht über E-Mail-Anhänge oder Hyperlinks. Der infizierte Computer wird Teil eines Botnetzes, das über eine Command-and-Control-Infrastruktur gesteuert und zur Verbreitung von Ransomware genutzt wird.

Qakbot liest Daten aus, lädt weitere Schadsoftware nach und verschlüsselt Daten, um die Benutzer zu erpressen. 2022 umfasste das Botnetz über 700.000 Systeme. Die Qakbot-Malware wurde für Ransomware-Angriffe und andere Cyberkriminalität eingesetzt, die bei Privatpersonen und Unternehmen in verschiedenen Ländern Schäden in Höhe von mehreren hundert Millionen Euro verursachten. Qakbot wurde in den letzten Jahren von vielen Ransomware-Gruppen, darunter Conti, ProLock, Egregor, REvil, MegaCortex und Black Basta zur Infektion von Opfer-Systemen verwendet.

Eigentlich war Qakbot zerschlagen

Zum 29./30. August 2023 teilten das Bundeskriminalamt und die Generalstaatsanwaltschaft mit, dass "in einer international konzertierten Aktion unter Leitung der US-amerikanischen Behörden die in Deutschland befindliche Serverinfrastruktur der Schadsoftware Qakbot, auch als Qbot oder Pinkslipbot bekannt, übernommen und zerschlagen" wurde. Ich hatte im Blog-Beitrag FBI und Europol zerschlagen mit Partnern das Qakbot-Netzwerk über diese Aktion berichtet.

Laut dieser Meldung des US-Justizministeriums verschafften sich die Strafverfolgungsbehörden ab dem 25. August 2023 Zugang zum Qakbot-Botnet. Anschließend leiteten die Spezialisten den Botnet-Verkehr zu Servern um, die von den Strafverfolgungsbehörden kontrolliert wurden. Dann wiesen sie die mit Qakbot infizierten gut 700.000 Computer an, eine Qakbot-Deinstallationsdatei herunterzuladen, die die Qakbot-Malware von dem infizierten Computer deinstallierte.

Microsoft sieht neue Kampagne

Microsoft hat nun neue Qakbot-Phishing-Kampagnen nach der Störungsaktion der Strafverfolgungsbehörden vom August 2023 identifiziert. Die Kampagne begann am 11. Dezember 2023, war von geringem Umfang und zielte auf das Gastgewerbe ab, wie man auf X in nachfolgendem Tweet schreibt.

Qakbot phishing campaign

Die Zielpersonen erhielten ein PDF von einem Benutzer, der sich als IRS-Mitarbeiter (ist die US-Steuerbehörde) ausgab. Die PDF-Datei enthielt eine URL, die einen digital signierten Windows Installer (.msi) herunterlädt. Die Ausführung des MSI-Pakets führte dazu, dass Qakbot über die Export-"hvsi"-Ausführung einer eingebetteten DLL aufgerufen wurde. Das MSI-Paket wurde mit dem SignerSha1/Thumbprint 50e22aa4b3b145fe1193ebbabed0637fa381fac3 signiert.


Anzeige

Ein eingebetteter Konfigurations-EPOCH-Zeitstempel zeigt an, dass die Nutzlast am 11. Dezember erzeugt wurde. Der Kampagnencode war tchk06. Besonders bemerkenswert ist, dass die gelieferte Qakbot-Nutzlast mit der bisher unbekannten Version 0x500 konfiguriert war.
Beobachtetes Qakbot C2:

45[.]138.74.191
65[.]108.218.24

Microsoft Defender XDR erkennt die bösartigen Komponenten und Aktivitäten im Zusammenhang mit diesen neuen Qakbot-Kampagnen.

Ähnliche Artikel:
FBI und Europol zerschlagen mit Partnern das Qakbot-Netzwerk
Trojaner Qakbot kommt über präparierte Excel-Dateien


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.