QakBot-Malware birgt hohes Sicherheitsrisiko

QakBot Attacke XML
Anzeige

Beitrag teilen

Die QakBot-Malware birgt ein hohes Sicherheitsrisiko durch die oft niedrige Erkennungsrate. QakBot wird durch XLSB-Dateien verteilt und ist somit schwer zu erkennen.

Qakbot ist zwar nicht neu am Himmel der Malware, allerdings warnt das Hornetsecurity Security Lab nun vor einer neuen Verbreitungsart: Die IT-Sicherheitsexperten haben entdeckt, dass XLM-Makros in XLSB-Dokumenten zur Verbreitung der QakBot-Malware verwendet werden. Da sowohl XLM-Makros als auch das XLSB-Dokumentenformat unüblich sind, haben diese neuen schädlichen Dokumente eine sehr niedrige Erkennungsrate durch aktuelle Antiviren-Lösungen.

Anzeige

Was ist QakBot?

QakBot (auch bekannt als QBot, QuakBot, Pinkslipbot) gibt es seit 2008. Die Malware wird über Emotet verbreitet, indem Emotet den QakBot-Loader bei infizierten Opfern herunterlädt. QakBot wird aber auch direkt per E-Mail verteilt. Zu diesem Zweck wird in den Kampagnen das E-Mail-Conversation-Thread-Hijacking genutzt — also auf E-Mails geantwortet, die in den Postfächern der Opfer gefunden werden. QakBot ist außerdem dafür bekannt, Angriffe zu eskalieren, indem es die ProLock-Ransomware herunterlädt.

Warum werden die Attacken nicht erkannt?

Hornetsecurity QakBot Ablauf Attacke

Ablauf einer QakBot-Attacke via XLM-Makros in XLSB-Dokumenten. Info: Hornetsecurity Security Labs (zum vergrößern Klicken)

XLSB ist ein binäres Excel-Arbeitsmappenformat, dessen Hauptzweck darin besteht, das Lesen und Schreiben in der Datei zu beschleunigen und die Größe sehr komplexer Tabellenkalkulationen zu reduzieren. Mit der derzeitigen Rechenleistung und Speicherverfügbarkeit nahm jedoch der Bedarf an diesem Binärformat ab und wird heute nur noch selten verwendet.
Laut den Experten des Hornetsecurity Security Labs führt die Kombination mit den alten und ebenfalls nicht sehr häufig erkannten XLM-Makros dazu, dass die aktuellen Dokumente von keiner der auf VirusTotal aufgeführten Antiviren-Lösungen als schädlich identifiziert werden.

Anzeige

Getarnt in einer ZIP-Datei

Die QakBot-XLSB-Dateien werden in einer angehängten ZIP-Datei verteilt. Diese ZIP-Datei enthält das XLSB-Dokument, das beim Öffnen vorgibt, ein von DocuSign verschlüsseltes Dokument zu sein. Der Benutzer muss „Editieren aktivieren“ und „Inhalt aktivieren“, um es zu entschlüsseln.
Die URL wird über das XLM-Makro zusammengesetzt und täuscht den Download einer PNG-Datei vor.
In Wirklichkeit ist die PNG-Datei aber die ausführbare Datei des QakBot-Laders.

Was kann gegen diese Angriffsmethode getan werden?

  • Die meisten Antiviren-Lösungen konzentrieren sich auf moderne VBA-Makro-Malware, erkennen aber wiederauftauchende alte und heutzutage weniger verbreitete XLM-Makros und XLSB-Dokumente häufig nicht.
  • Unternehmen sollten daher auf fortgeschrittene Sicherheitsservices zurückgreifen, die in der Lage sind, innerhalb kürzester Zeit auf neue Bedrohungen und Angriffsmethoden zu reagieren.

Eine detaillierte Analyse dieser Angriffsmethode stellen die Sicherheitsexperten aus dem Hornetsecurity Security Lab auf ihren Blog zur Verfügung.

Mehr dazu bei HornetSecurity.com

 


Über Hornetsecurity

Hornetsecurity ist der in Europa führende deutsche Cloud Security Provider für E-Mail und schützt die IT-Infrastruktur, digitale Kommunikation sowie Daten von Unternehmen und Organisationen jeglicher Größenordnung. Seine Dienste erbringt der Sicherheitsspezialist aus Hannover über weltweit 10 redundant gesicherte Rechenzentren. Das Produktportfolio umfasst alle wichtigen Bereiche der E-Mail-Security, von Spam- und Virenfilter über rechtssichere Archivierung und Verschlüsselung, bis hin zur Abwehr von CEO Fraud und Ransomware. Hornetsecurity ist mit rund 200 Mitarbeitern global an 12 Standorten vertreten und operiert mit seinem internationalen Händlernetzwerk in mehr als 30 Ländern.


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen