Banking-Trojaner Qbot: neue Angriffswelle

Kaspersky_news

Beitrag teilen

Mit Hilfe einer neue Angriffswelle mit verseuchten PDFs will sich der Banking-Trojaner Qbot weiter ausbreiten. Besonders Unternehmen bekommen die verseuchten Dateien oft in ihr Postfach geliefert. Die Phishing-Kampagne verbreitet sich auch über deutschsprachige, schädliche Dateien.

Die Kaspersky-Experten haben zu Beginn dieses Monats eine neue Aktivitätswelle der Qbot-Malware entdeckt. Sie hat es auf Unternehmensanwender abgesehen und wird über eine schädliche Spam-E-Mail-Kampagne verbreitet. Für ihr Vorhaben nutzen die Cyberkriminellen fortschrittliche Social-Engineering-Techniken: Sie fangen bestehende Mail-Korrespondenzen ab und leiten innerhalb der Konversation schädliche PDF-Anhänge weiter. Bisher haben Kaspersky-Lösungen mehr als 5.000 solcher E-Mails mit PDF-Anhängen in verschiedenen Ländern, darunter auch Deutschland, entdeckt.

Anzeige

Qbot – besonders gefährlicher Banking-Trojaner

Bei Qbot handelt es sich um einen berüchtigten Banking-Trojaner, der als Teil eines Botnetzes funktioniert und Daten wie Passwörter und geschäftliche E-Mail-Korrespondenzen stehlen kann. Zudem können damit Bedrohungsakteure ein infiziertes System kontrollieren und Ransomware oder andere Trojaner auf Geräten im Netzwerk installieren. Die Malware wird mittels unterschiedlicher Methodiken verbreitet, darunter als schädlicher PDF-Anhang in E-Mails, was bei dieser Kampagne bislang noch nicht häufig vorkam.

Seit Anfang April dieses Jahres ist eine erhöhte Aktivität bei einer Spam-E-Mail-Kampagne, die dieses spezielle Schema mit PDF-Anhängen verwendet, erkennbar. Die derzeitige Angriffswelle begann am Abend des 4. April: Seither haben die Experten von Kaspersky mehr als 5.000 Spam-E-Mails mit PDF-Dateien in englischer, deutscher, italienischer und französischer Sprache entdeckt, die diese Malware verbreiten.

Gestohlene E-Mail-Korrespondenzen von Unternehmen

Der Banking-Trojaner wird über die echte Geschäftskorrespondenz eines potentiellen Opfers verbreitet, die zuvor von den Cyberkriminellen gestohlen wurde. Hierfür wird eine E-Mail an alle Teilnehmer des bestehenden Threads weitergeleitet, in der sie in der Regel unter Angabe eines plausiblen Grundes aufgefordert werden, den schädlichen PDF-Anhang zu öffnen. Die Angreifer bitten beispielsweise darum, alle im Anhang enthaltenen Unterlagen weiterzuleiten oder die vereinbarte Auftragssumme auf Grundlage der im Anhang veranschlagten Kosten zu berechnen. Wird das PDF geöffnet, wird ein schädliches Archiv von einem Remote-Server auf den Computer des Opfers heruntergeladen.

„Die Kernfunktionalität der Qbot-Malware hat sich in den vergangenen zwei Jahren nicht verändert; wir raten Unternehmen dazu, wachsam zu bleiben, da die Malware sehr gefährlich ist“, kommentiert Darya Ivanova, Malware Analyst bei Kaspersky. „Cyberkriminelle entwickeln ihre Techniken ständig weiter und integrieren zusätzliche überzeugendere Social-Engineering-Elemente. Somit erhöht sich die Wahrscheinlichkeit, dass ein Mitarbeiter auf ihre Masche hereinfällt. Um sich davor zu schützen, sollten Warnsignale wie beispielsweise die Schreibweise der E-Mail-Adresse des Absenders, merkwürdige Anhänge oder grammatikalische Fehler sorgfältig geprüft werden. Allen voran kann der Einsatz spezieller Cybersecurity-Lösungen die Sicherheit von Geschäft-E-Mails gewährleisten.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Oracle veröffentlicht im Januar 318 Sicherheitsupdates

Die Liste der 318 Sicherheitsupdates zeigt zwar nicht sofort die Risikobewertungen mit CVSS-Werten, aber ein Blick in die Beschreibungen zeigt ➡ Weiterlesen

Schwachstelle in Firewall von Fortinet

Ein Threat-Research-Team hat Anfang Dezember 2024 eine Kampagne mit verdächtigen Aktivitäten auf Fortinet FortiGate Firewall-Geräten beobachtet. Indem sie sich Zugang ➡ Weiterlesen

Ransomware & Co: Neue Malware-Machtverteilung 

Der aktuell ausgewertete Bedrohungsindex aus dem Dezember zeigt die Bedrohung durch FunkSec, eine Ransomware-Gruppe, die mit KI agiert. In Deutschland ➡ Weiterlesen

Trojaner Sliver-Implant zielt auf Unternehmen

Wie die Webseite Tarnkappe.info berichtet, zielt der Trojaner Sliver-Implant auf Unternehmen ab. In Windows Link-Dateien LNK versteckt sich Malware, die ➡ Weiterlesen

SAP Patches im Januar schließen kritische Lücken

SAP hat seine Januar-Liste mit Schwachstellen veröffentlicht, darunter zwei kritische mit dem CVSS-Wert 9.9 von 10, sowie drei hochgefährliche Lücken ➡ Weiterlesen

Hacker zielen verstärkt auf Bitcoin-Wallets

Kryptowährungen werden immer beliebter. Das ist auch Cyberkriminellen nicht entgangen. Seit ungefähr drei Jahren sind Crypto-Drainer im Umlauf, mit denen ➡ Weiterlesen

Cybersicherheit 2025: Deepfakes, KI-gestütztes Phishing, Betrug

Die Experten von Trend Micro warnen in 2025 vor einer Ära hyper-personalisierter Cyberangriffe und Identitätsdiebstahl. In seinen Sicherheitsvorhersagen für das ➡ Weiterlesen

Moxa-Industrie-Switch mit kritischer 9.2 Schwachstelle

Der Anbieter von industriellen Switchen Moxa meldet in seinem Security-Advisory eine kritische Schwachstelle mit dem CVSS-Basis-Score 9.2 von 10. Per ➡ Weiterlesen