Foto: Check Point Software
Sicherheitsforscher von Varonis und Check Point Software haben eindringlich vor dem Trojaner Qbot (auch als "Quakbot" und "Qakbot" bezeichnet) gewarnt. Den Experten von Check Point zufolge fielen der Malware dieses Jahr weltweit bereits rund 100.000 Anwender zum Opfer. Schwerpunktmäßig schlug die Schadsoftware in den USA (29 Prozent) zu. Aber auch Indien, Israel, Italien, Deutschland und Österreich gehören zu den Top 10 der betroffenen Länder.
Auch Varonis hat die Malware QBot gründlich untersucht, sprach aber vergangene Woche lediglich von "Tausenden von infizierten Anwendern" und sieht die größte Gefahr - womöglich aufgrund der Kundenstruktur - vor allem durch gestohlene Zugangsdaten zu Bankkonten. Laut Check Point trifft QBot derzeit vor allem Behörden und Militäreinrichtungen (ca. 36 Prozent), aber auch das produzierende Gewerbe, Versicherungen und Anwaltskanzleien sowie Einrichtungen aus dem Gesundheitswesen.
Malware QBot stark verbessert
Qbot infiziert Outlook-Postfächer. Ziel ist es, E-Mails zu sammeln, auszuwerten und sich in Konversationen einzuklinken. Die Malware versucht anschließend über manipulierten E-Mail-Verkehr Zugangsdaten abzugreifen. Qbot ist grundsätzlich - je nach Quelle - seit 2008 oder 2009 bekannt. Die Malware hatte es damals auf Browser-Daten und Online-Banking-Daten abgesehen.
Für die aktuellen Angriffe wird Check Point zufolge eine im Vergleich zu den früher bekannten Varianten stark verbessert Version der Schadsoftware verwendet. Sie kam seit März in mehreren Kampagnen zum Einsatz und wurde einmal auch über das Emotet-Botnet ausgeliefert. Da das umfangreich erweitert wurde, gehen die Sicherheitsforscher davon aus, dass auch Qbot um neue Funktionen ergänzt und die dazugehörige Command-and-Control-Server-Infrastruktur erneuert wurde.
Foto: Check Point Software
"Die Malware mauserte sich nun zum Multi-Funktions-Werkzeug, da sie in der Lage ist, Zugangsdaten und Informationen zu stehlen, illegale Banküberweisungen über die IP-Adresse des Opfers auszulösen oder Ransomware zu installieren", teilt das Unternehmen mit. Allein die über Emotet gefahrene Angriffswelle habe im Juli 2020 rund fünf Prozent der Unternehmen weltweit erreicht.
Wie QBot Nutzer angreift
Ein Angriff mit Qbot beginnt mit einer gezielt für den Empfänger erstellten E-Mail, die einen Link zu einer zip-Datei enthält, der zu einer infizierten Visual-Basic-Script-Datei (vbs) führt. Nach erfolgreicher Infektion des Rechners beginnt Qbot alle E-Mails des Outlook-Postfachs auszulesen und zu einem Remote Server hochzuladen. Mithilfe der gestohlenen Nachrichten bereiten die Hintermänner dann weitere Kampagnen mit auf die Zielpersonen zugeschnittenen Mails vor. In den Betreffzeilen ging es besonders oft um Covid-19, Aufforderungen zur Steuerzahlung und Stellenausschreibung.
"Die Hacker, die hinter Qbot stehen, investieren massiv in seine Entwicklung, um Datendiebstahl von Organisationen und Einzelpersonen in großem Umfang zu ermöglichen", berichtet Christine Schönig, Security-Expertin bei Check Point Software. "Vorerst empfehle ich dringend, E-Mails genau unter die Lupe zu nehmen und auf verdächtige Anzeichen zu achten, die auf einen Phishing-Versuch hindeuten - selbst wenn die E-Mail von einer eigentlich vertrauenswürdigen Quelle zu stammen scheint", so Schönig weiter.