Malware im Umlauf

Die Rückkehr von QakBot?

Sicherheitsforscher beobachten aktuell eine Kampagne zur Verbreitung von QakBot, einem Infostealer, der der über Spam-E-Mails zugestellt und mit einem bösartigen Microsoft Office-Anhang gebündelt wird.

Symbolbild Passwortdiebstahl

Ist eine Infektion eines Rechners erfolgt, so werden Informationen, wie IP Adresse, Hostname, Username, OS-Version und Bankkontodaten ausgelesen.

Infizierte Office-Dokumente werden im Rahmen der Kampagne für die Zustellung der Payload verwendet und dabei häufig für gezielte Angriffe auf Unternehmen eingesetzt. Ist eine Infektion eines Rechners erfolgt, so werden von QakBot Informationen, wie IP Adresse, Hostname, Username, OS-Version und Bankkontodaten ausgelesen.

QakBot verwendet verschiedene Techniken, um der Erkennung zu entgehen und seine Analyse zu erschweren. Bei der Überprüfung eines Malware-Samples stellten Sicherheitsforscher von Zscaler zwar fest, dass deren Zeitstempel aus dem Jahr 2010 stammte. Allerdings wurden sie durch kürzlich neu registrierte Domains auf die wiederauflebende Aktivität der Kampagne aufmerksam.

Das Team hat Tausende von bösartigen Dokumenten aus verschiedenen Kampagnen analysiert und dabei ein verschleiertes Makro zur Verbreitung von QakBot genauer unter die Lupe genommen, um den Infektionszyklus transparent zu machen. Die untersuchte Kampagne verwendet ein Office-Dokument mit dem Dateinamen „Operating Agreement_<integervalue>.doc“. Bei der Detonation in der Zscaler Cloud Sandbox wurde der Infektionsweg nachvollzogen. Das passwortgeschütze Makro löst verschiedene, mehrstufige Aktionen aus, wie das Kopieren von hard-coded, verschleierten Daten aus dem User-Formular, die nach der Entschlüsselung Daten in verschiedene Eigenschaftsabschnitte, wie Beschriftungen und Tags, ablegte. Erst von dort aus wurde PowerShell für den Download der eigentlichen Payload vom Command & Control-Server gestartet.

Wir das Makro vom Anwender aktiviert, erzeugt es ein gefälschtes Popup-Fenster, um dem User glauben zu machen, dass sein System eine Funktion ausführt. Allerdings laufen im Hintergrund dann die schädlichen Aktivitäten des Makros ab. Diese Vorgehensweise ähnelt den Kampagnen von TA505 APT und Emotet.

Bevor der Hauptcode ausgeführt wird, überprüft die Malware das System auf vorhandene Antiviren-Software. Ebenso wird das System auf virtuelle Umgebungen und andere Monitoring-Tools gecheckt, indem die laufenden Prozesse auf dem Computer des Opfers überprüft werden. Mit CreateToolhelp32Snapshot wird ein Snapshot der Prozesse erstellt, und mit der Process32First- und Process32Next-API werden alle Prozesse aufgezählt. Außerdem kopiert sich die Malware in das Verzeichnis „%AppData%\Roaming\Microsoft\{Random}\“ und wird dort aktiv. Sie führt einen Befehl aus, um sich selbst anzupingen und die ursprüngliche Binärdatei durch eine Kopie der legitimen Windows Calculator-Anwendung zu ersetzen. QakBot sorgt für Persistenz auf dem befallenen System, indem es einen RUN-Schlüssel am Ort des automatischen Starts erstellt wodurch die Malware bei jeder Anmeldung ausführt wird. Darüber hinaus wird unter anderem eine geplante Aufgabe der täglichen Ausführung der Payload um 5:33 Uhr festgelegt und diese Aufgabe nach dem Aktivieren gelöscht.

Die QakBot Malware ist nicht neu, aber sie wird nach wie vor weiterentwickelt um neue Methoden, um Maschinen zu infizieren und der Entdeckung zu entgehen.

Bildquelle: Getty Images/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok