QBot-Malware verbreitet sich über neue Phishing-Kampagne

Proxylife und die Cryptolaemus-Gruppe haben einen neuen Phishing-Versuch entdeckt, bei dem QBot-Malware über PDFs und Windows Script Files (WSF) verbreitet wird. QBot, auch bekannt als QakBot, ist ein Virus, der Informationen stiehlt und sich zu einem Dropper entwickelt hat, der kriminelle Gruppen bei ihren bösartigen Aktionen unterstützt.

Phishing-E-Mails sind Antwortketten-E-Mails, in denen böswillige Akteure auf eine Reihe von E-Mails mit einem bösartigen Link oder Anhang antworten. Diese Phishing-E-Mails verwenden eine Vielzahl von Sprachen, was bedeutet, dass jede Organisation überall auf der Welt gefährdet sein könnte. Wenn jemand in der E-Mail-Kette die verlinkte PDF-Datei anschaut, erhält er die Warnung "Dieses Dokument enthält geschützte Dateien, klicken Sie auf die Schaltfläche 'Öffnen', um sie anzuzeigen. Wenn Sie auf diese Schaltfläche klicken, wird eine ZIP-Datei heruntergeladen, die das WSF-Skript enthält.

Das Skript dieser Kampagne wurde sorgfältig versteckt und ist eine Mischung aus JavaScript (JS) und VBScript-Code. Wenn es ausgeführt wird, startet es ein PowerShell-Programm, das die QBot-DLL von einer Liste von URLs herunterlädt. Das Skript versucht jede URL, bis es eine Datei in den Windows-Temp-Ordner herunterlädt und ausführt. Wenn QBot gestartet wird, fügt es sich in die Windows Error Manager Software, wermgr.exe, ein, die eine echte Windows-Komponente ist. Dadurch kann QBot unsichtbar im Hintergrund laufen.

Kaspersky untersuchte die Kampagne ebenfalls und fand heraus, dass sie Antwortketten-E-Mails verwendet, um es potenziellen Zielen zu erschweren, sie als bösartig zu erkennen. Die E-Mails sind im Stil legitimer Geschäftsbriefe verfasst, die die Angreifer erhalten haben, und fordern den Empfänger auf, einen PDF-Anhang herunterzuladen. Diese PDF-Datei ist auf mehreren Ebenen verschleiert, so dass es für Sicherheitsprogramme schwierig ist, die Bösartigkeit zu erkennen.

In der PDF-Datei befindet sich eine Windows Script File (WSF), die ein verstecktes PowerShell-Skript enthält, das als Base64-Zeile codiert ist. Wenn das PowerShell-Skript auf dem Computer ausgeführt wird, nutzt es das Tool wget, um eine DLL-Datei von einem Remote-Server herunterzuladen, die dann verwendet wird, um die QBot-Malware auf dem PC des Opfers zu verbreiten.

Die vielen Verschleierungsschichten von QBot machen es schwierig, ihn zu entdecken. Das WSF wird verschleiert, um der Erkennung zu entgehen, wodurch weitere Nutzlasten heruntergeladen werden, erklärt Timothy Morris, Chief Security Adviser bei Tanium. Die "Verkettung" von Angriffen, d. h. die Verwendung mehrerer Schritte, hilft dabei, einige Schutzmaßnahmen zu umgehen, da der gesamte Kontext des schändlichen Verhaltens nicht als einzelne Aktivität beobachtet werden kann.

Zu den Quellen für diesen Artikel gehört ein Artikel in Malwarebytes.

Zusammenfassung

Artikel Name

QBot-Malware verbreitet sich über neue Phishing-Kampagne

Beschreibung

Proxylife und die Cryptolaemus-Gruppe haben einen neuen Phishing-Versuch entdeckt, bei dem QBot-Malware über PDFs verbreitet wird.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers