Anfang April entdeckten die Experten von Kaspersky eine Massen-E-Mail-Kampagne, bei der Nachrichten mit einer schädlichen PDF-Datei im Anhang verschickt wurden. Ziel der Angreifer sind Unternehmen: Ein gefährliches Dokument wird an geschäftliche E-Mails angehängt (wir haben E-Mails in englischer, deutscher, italienischer und französischer Sprache entdeckt). Das Ziel der Kampagne ist es, die Computer der Opfer mit der Malware QBot, auch bekannt als QakBot, QuackBot oder Pinkslipbot, zu infizieren. Interessanterweise beobachteten unsere Spezialisten vor etwa einem Jahr einen ähnlichen plötzlichen Anstieg der Zahl der E-Mails, die Malware (einschließlich QBot) enthielten.
Wie ein Angriff aus der Sicht des Opfers aussieht
Der Angriff basiert auf der Taktik des „Conversation Hijacking“. Dabei verschaffen sich die Hacker Zugang zu authentischen Geschäftskorrespondenzen (QBot stiehlt unter anderem lokal gespeicherte E-Mails von den Computern vorheriger Opfer) und mischen sich in den Dialog ein, indem sie ihre Nachrichten so versenden, als würden sie ein älteres Gespräch fortsetzen. In den E-Mails wird versucht, die Opfer dazu zu bringen, eine angehängte PDF-Datei zu öffnen, die als Kostenaufstellung oder anderes Geschäftsdokument getarnt ist, das eine schnelle Reaktion erfordert.
Eine neue Welle schädlicher Geschäfts-E-Mails zielt darauf ab, Firmencomputer mit dem #QBot-Trojaner zu infizieren. #ITSecurity
Tweet
In Wahrheit enthält die PDF-Datei jedoch die Imitation einer Benachrichtigung von Microsoft Office 365 oder Microsoft Azure. Mit dieser Benachrichtigung wird versucht, das Opfer dazu zu bringen, auf die Schaltfläche „Öffnen“ zu klicken. Lässt sich das Opfer darauf ein, wird ein passwortgeschütztes Archiv auf den Computer heruntergeladen (wobei das Passwort im Text der „Benachrichtigung“ selbst enthalten ist). Der Empfänger wird dann aufgefordert, das Archiv zu entpacken und die darin enthaltene .wsf-Datei (Windows Script File) auszuführen. Dabei handelt es sich um ein schädliches Skript, das die QBot-Malware von einem Remote-Server herunterlädt. Eine ausführlichere technische Beschreibung aller Phasen des Angriffs, sowie Indikatoren für eine Kompromittierung, finden Sie hier auf der Securelist-Website.
Wozu kann eine Infektion mit QBot führen?
Unsere Experten klassifizieren QBot als Banking-Trojaner. Er ermöglicht es Angreifern, Anmeldedaten (Logins und Passwörter) sowie Cookies von Browsern auszuspionieren, E-Mails zu stehlen, Bankaktivitäten auszuspähen und Tastenanschläge aufzuzeichnen. Außerdem ist er in der Lage, andere Malware (z. B. Ransomware) zu installieren.
Wie können Sie sich schützen?
Um Ihr Unternehmen vor Cyberkriminellen zu schützen, empfehlen wir die Installation einer zuverlässigen Cybersicherheitslösung auf allen Unternehmensgeräten mit Internetzugang. Ebenfalls hilfreich ist die Ausstattung des Mailgateways mit einem Produkt, das schädliche, Phishing- und Spam-E-Mails herausfiltern kann. Damit Ihre Mitarbeiter auch in der Lage sind, die Methoden von Angreifern eigenständig zu erkennen, müssen sie regelmäßig für moderne Cyberbedrohungen sensibilisiert werden.