Das Erpresser Bot-Netz QakBot wurde reaktiviert

QakBot, auch bekannt als QBot, QuackBot und Pinkslipbot, ist in einer neuen Phishing-Kampagne wieder aufgetaucht, die auf die Hotelleriebranche abzielt. Dieses Wiederauftauchen erfolgt Monate nachdem eine internationale Strafverfolgungsaktion, genannt “Operation Duck Hunt”, das QakBot-Botnetz erfolgreich zerschlagen hat. Die Aktion umfasste die Beschlagnahmung von 52 Servern und die Entfernung des Malware-Laders von über 700.000 betroffenen Computern weltweit, sowie die Beschlagnahmung von über 8,6 Millionen US-Dollar in Kryptowährung von der für QakBot verantwortlichen Cyberkriminellen-Organisation.

Das Threat Intelligence-Team von Microsoft identifizierte die neue QakBot-Phishing-Kampagne, die am 11. Dezember 2023 begann. Die Kampagne ist durch geringes Volumen gekennzeichnet und verwendet E-Mails, die sich als Mitteilungen von einem Mitarbeiter des US-amerikanischen Internal Revenue Service (IRS) ausgeben. Diese E-Mails enthalten einen PDF-Anhang mit einer URL, die eine digital signierte Windows-Installer-Datei (.MSI) herunterlädt. Bei Ausführung startet diese Datei die QakBot-Malware mithilfe einer eingebetteten DLL. Es wurde festgestellt, dass die DLL-Ladung, die am selben Tag wie der Beginn der Kampagne erstellt wurde, eine bisher nicht gesehene Version der Malware, 0x500, verwendet, was auf eine laufende Entwicklung der Malware hinweist.

QakBot, das ursprünglich 2008 als Banken-Malware auftauchte, hat sich im Laufe der Zeit zu einem vielseitigen Vehikel für die Verbreitung von Malware und Ransomware entwickelt. Es ist bekannt dafür, sensible Informationen zu sammeln und zusätzliche bösartige Lasten, einschließlich Ransomware, auf infizierte Systeme zu liefern. Die Malware wurde mit mehreren Ransomware-Gruppen wie Conti und Black Basta in Verbindung gebracht. Sie wird über Phishing-Kampagnen verbreitet, die verschiedene Lockmittel verwenden, einschließlich Antwortketten-E-Mail-Angriffen. Einmal installiert, injiziert QakBot eine DLL in einen legitimen Windows-Prozess und arbeitet diskret, während zusätzliche Payloads bereitgestellt werden.

Dieses Wiederauftauchen von QakBot unterstreicht die Widerstandsfähigkeit solcher Botnetze und die anhaltende Bedrohung, die sie darstellen. Trotz des Schlags, der durch Operation Duck Hunt ausgeführt wurde, bedeutete das Fehlen von Verhaftungen während der Operation, dass die Bedrohungsakteure das Potenzial hatten, sich neu zu gruppieren und ihre bösartigen Aktivitäten wieder aufzunehmen. Die Rückkehr von QakBot, ähnlich wie das frühere Wiederauftauchen von Emotet, betont die Notwendigkeit für Organisationen, wachsam gegenüber Spam-E-Mails und anderen Taktiken zu bleiben, die in solchen Kampagnen verwendet werden.

Related Posts

Ransomware as a Service Kollektiv Hive nach Polizeischlag geschwächt

Das Hackerkollektiv “Hive”, bekannt für seine Ransomware-Angriffe, wurde kürzlich durch eine internationale Strafverfolgungsaktion erheblich geschwächt. Deutsche Ermittler, in Zusammenarbeit mit Behörden aus den Niederlanden und den USA, haben die Kontrolle über das Ransomware-Netzwerk von Hive übernommen. Diese Aktion umfasste auch die Polizei in der Ukraine und wurde von internationalen Strafverfolgungsbehörden wie Europol und Eurojust unterstützt. Dabei gelang es, den Anführer der Bande sowie 5 weitere Mitglieder der Gruppe zu verhaften. Die Gruppe war für Cyberangriffe in 71 Ländern verantwortlich und nutzte Schadsoftware wie LockerGoga, MegaCortex, HIVE und Dharma​​.

Read More

Das richtige Verhalten nach IT Sicherheitsvorfällen

Bei einer Datenpanne, also einem IT-Sicherheitsvorfall, bei dem es zu einer Verletzung des Schutzes personenbezogener Daten kommt, sind bestimmte Schritte nach der Datenschutz-Grundverordnung (DSGVO) erforderlich. Diese Schritte dienen dazu, die Folgen der Panne zu minimieren und die Betroffenen sowie die zuständigen Behörden angemessen zu informieren.

Read More

Phishing über Umwege: Booking.com wird ausgenutzt

Booking.com-Nutzer werden immer häufiger Opfer eines ausgeklügelten Phishing-Betrugs. Diese Betrügereien beginnen oft mit der Kompromittierung von Hotelkonten auf Booking.com. Die Betrüger nutzen dann die Messaging-Funktion der Plattform, um Nachrichten zu senden, die scheinbar von den Hotels stammen. In diesen Nachrichten wird behauptet, dass die Reservierung storniert wird, wenn die Kreditkartendaten nicht innerhalb einer kurzen Frist verifiziert werden. Die Nachrichten sind professionell verfasst und ähneln echten Interaktionen zwischen Hotels und Gästen, was es schwierig macht, den Betrug zu erkennen.

Read More