QBot übernimmt WordPad um sich zu tarnen
In diesem besonderen Fall wird, wenn WordPad die DLL ausführt, eine bösartige Datei mit dem Namen Curl.exe aus dem System32 ausgeführt, um eine weitere DLL-Datei herunterzuladen, die sich als PNG-Datei ausgibt. Tatsächlich handelt es sich dabei um QBot, einen seit langem bekannten Banking-Trojaner, der E-Mails für weitere Phishing-Attacken übernehmen und weitere Malware wie etwa Cobalt Strike oder andere Ransomware herunterladen kann.
Indem die Hacker legitime Programme wie den Taschenrechner oder WordPad nutzen, um die bösartigen DLL-Dateien auszuführen und ihre Malware einzuschleusen, hoffen sie darauf, Sicherheitsvorkehrungen wie Antivirenprogramme zu umgehen und unentdeckt zu bleiben. Da diese Methode jedoch die Verwendung von Curl.exe voraussetzt, funktioniert sie nur unter Windows 10 und neueren Versionen, da bei früheren Versionen das Programm nicht vorinstalliert war. Da jedoch ältere Versionen meist ohnehin nicht mehr unterstützt werden und die Nutzer auf Windows 10 und Windows 11 umsteigen, dürfte das Problem noch eine Weile bestehen.
Doch dabei handelt es sich leider nicht um den einzigen Angriffsvektor, den die Hintermänner von QBot einsetzen. Erst Ende April entdeckten Sicherheitsforscher, dass die Malware in einer Phishing-Kampagne auch über PDFs und Windows Script Files (WSF)verbreitet wird. Dabei setzen sie Reply-Chain-Phishing ein, bei dem eine E-Mail-Konversation gekapert wird, um das Opfer in Sicherheit zu wiegen. Die bösartigen Links und Dateianhänge werden dabei einfach als Antwort in eine laufende Unterhaltung eingeschleust. Wie die Sicherheitsforscher feststellten, kommen bei der untersuchten QBot-Kampagne verschiedene Sprachen zum Einsatz, was darauf hindeutet, dass die Angriffe weltweit laufen.
Das Beispiel QBot zeigt, dass auch bereits seit Jahren im Umlauf befindliche Malware weiterhin eine Gefahr darstellt, wenn die Hintermänner sich immer neue Verbreitungswege einfallen lassen. Es ist daher unerlässlich, stets aufmerksam zu bleiben und gegenüber Dateien aus unbekannten Quellen misstrauisch zu sein.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de