QakBot, auch bekannt als QBot, QuackBot und Pinkslipbot, ist in einer neuen Phishing-Kampagne wieder aufgetaucht, die auf die Hotelleriebranche abzielt. Dieses Wiederauftauchen erfolgt Monate nachdem eine internationale Strafverfolgungsaktion, genannt „Operation Duck Hunt“, das QakBot-Botnetz erfolgreich zerschlagen hat. Die Aktion umfasste die Beschlagnahmung von 52 Servern und die Entfernung des Malware-Laders von über 700.000 betroffenen Computern weltweit, sowie die Beschlagnahmung von über 8,6 Millionen US-Dollar in Kryptowährung von der für QakBot verantwortlichen Cyberkriminellen-Organisation.
Das Threat Intelligence-Team von Microsoft identifizierte die neue QakBot-Phishing-Kampagne, die am 11. Dezember 2023 begann. Die Kampagne ist durch geringes Volumen gekennzeichnet und verwendet E-Mails, die sich als Mitteilungen von einem Mitarbeiter des US-amerikanischen Internal Revenue Service (IRS) ausgeben. Diese E-Mails enthalten einen PDF-Anhang mit einer URL, die eine digital signierte Windows-Installer-Datei (.MSI) herunterlädt. Bei Ausführung startet diese Datei die QakBot-Malware mithilfe einer eingebetteten DLL. Es wurde festgestellt, dass die DLL-Ladung, die am selben Tag wie der Beginn der Kampagne erstellt wurde, eine bisher nicht gesehene Version der Malware, 0x500, verwendet, was auf eine laufende Entwicklung der Malware hinweist.
QakBot, das ursprünglich 2008 als Banken-Malware auftauchte, hat sich im Laufe der Zeit zu einem vielseitigen Vehikel für die Verbreitung von Malware und Ransomware entwickelt. Es ist bekannt dafür, sensible Informationen zu sammeln und zusätzliche bösartige Lasten, einschließlich Ransomware, auf infizierte Systeme zu liefern. Die Malware wurde mit mehreren Ransomware-Gruppen wie Conti und Black Basta in Verbindung gebracht. Sie wird über Phishing-Kampagnen verbreitet, die verschiedene Lockmittel verwenden, einschließlich Antwortketten-E-Mail-Angriffen. Einmal installiert, injiziert QakBot eine DLL in einen legitimen Windows-Prozess und arbeitet diskret, während zusätzliche Payloads bereitgestellt werden.
Dieses Wiederauftauchen von QakBot unterstreicht die Widerstandsfähigkeit solcher Botnetze und die anhaltende Bedrohung, die sie darstellen. Trotz des Schlags, der durch Operation Duck Hunt ausgeführt wurde, bedeutete das Fehlen von Verhaftungen während der Operation, dass die Bedrohungsakteure das Potenzial hatten, sich neu zu gruppieren und ihre bösartigen Aktivitäten wieder aufzunehmen. Die Rückkehr von QakBot, ähnlich wie das frühere Wiederauftauchen von Emotet, betont die Notwendigkeit für Organisationen, wachsam gegenüber Spam-E-Mails und anderen Taktiken zu bleiben, die in solchen Kampagnen verwendet werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: