Mit Hilfe einer neue Angriffswelle mit verseuchten PDFs will sich der Banking-Trojaner Qbot weiter ausbreiten. Besonders Unternehmen bekommen die verseuchten Dateien oft in ihr Postfach geliefert. Die Phishing-Kampagne verbreitet sich auch über deutschsprachige, schädliche Dateien.
Die Kaspersky-Experten haben zu Beginn dieses Monats eine neue Aktivitätswelle der Qbot-Malware entdeckt. Sie hat es auf Unternehmensanwender abgesehen und wird über eine schädliche Spam-E-Mail-Kampagne verbreitet. Für ihr Vorhaben nutzen die Cyberkriminellen fortschrittliche Social-Engineering-Techniken: Sie fangen bestehende Mail-Korrespondenzen ab und leiten innerhalb der Konversation schädliche PDF-Anhänge weiter. Bisher haben Kaspersky-Lösungen mehr als 5.000 solcher E-Mails mit PDF-Anhängen in verschiedenen Ländern, darunter auch Deutschland, entdeckt.
Qbot – besonders gefährlicher Banking-Trojaner
Bei Qbot handelt es sich um einen berüchtigten Banking-Trojaner, der als Teil eines Botnetzes funktioniert und Daten wie Passwörter und geschäftliche E-Mail-Korrespondenzen stehlen kann. Zudem können damit Bedrohungsakteure ein infiziertes System kontrollieren und Ransomware oder andere Trojaner auf Geräten im Netzwerk installieren. Die Malware wird mittels unterschiedlicher Methodiken verbreitet, darunter als schädlicher PDF-Anhang in E-Mails, was bei dieser Kampagne bislang noch nicht häufig vorkam.
Seit Anfang April dieses Jahres ist eine erhöhte Aktivität bei einer Spam-E-Mail-Kampagne, die dieses spezielle Schema mit PDF-Anhängen verwendet, erkennbar. Die derzeitige Angriffswelle begann am Abend des 4. April: Seither haben die Experten von Kaspersky mehr als 5.000 Spam-E-Mails mit PDF-Dateien in englischer, deutscher, italienischer und französischer Sprache entdeckt, die diese Malware verbreiten.
Gestohlene E-Mail-Korrespondenzen von Unternehmen
Der Banking-Trojaner wird über die echte Geschäftskorrespondenz eines potentiellen Opfers verbreitet, die zuvor von den Cyberkriminellen gestohlen wurde. Hierfür wird eine E-Mail an alle Teilnehmer des bestehenden Threads weitergeleitet, in der sie in der Regel unter Angabe eines plausiblen Grundes aufgefordert werden, den schädlichen PDF-Anhang zu öffnen. Die Angreifer bitten beispielsweise darum, alle im Anhang enthaltenen Unterlagen weiterzuleiten oder die vereinbarte Auftragssumme auf Grundlage der im Anhang veranschlagten Kosten zu berechnen. Wird das PDF geöffnet, wird ein schädliches Archiv von einem Remote-Server auf den Computer des Opfers heruntergeladen.
„Die Kernfunktionalität der Qbot-Malware hat sich in den vergangenen zwei Jahren nicht verändert; wir raten Unternehmen dazu, wachsam zu bleiben, da die Malware sehr gefährlich ist“, kommentiert Darya Ivanova, Malware Analyst bei Kaspersky. „Cyberkriminelle entwickeln ihre Techniken ständig weiter und integrieren zusätzliche überzeugendere Social-Engineering-Elemente. Somit erhöht sich die Wahrscheinlichkeit, dass ein Mitarbeiter auf ihre Masche hereinfällt. Um sich davor zu schützen, sollten Warnsignale wie beispielsweise die Schreibweise der E-Mail-Adresse des Absenders, merkwürdige Anhänge oder grammatikalische Fehler sorgfältig geprüft werden. Allen voran kann der Einsatz spezieller Cybersecurity-Lösungen die Sicherheit von Geschäft-E-Mails gewährleisten.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/