Follina

Qbot nutzt Schwachstelle in Microsoft-Diagnosetool aus

Uhr
von Yannick Züllig und jor

Cyberkriminelle nutzen eine noch nicht gepatchte Zero-Day-Schwachstelle im Microsoft-Diagnosetool aus. Über die Sicherheitslücke verbreitet sich nun auch die Malware Qbot.

(Source: Ed Hardie / Unsplash)
(Source: Ed Hardie / Unsplash)

Eine kritische Windows-Zero-Day-Schwachstelle, die als Follina bekannt ist und immer noch auf eine offizielle Lösung von Microsoft wartet, wird ihm Rahmen von Phishing-Angriffen ausgenutzt, um Empfänger mit Qbot-Malware zu infizieren. Wie "BleepingComputer" berichtet, konnte der Cybersicherheitsanbieter Proofpoint gleich mehrere Fälle nachweisen, in denen Hacker Follina aktiv ausnutzen.

So seien diverse EU- und US-Behörden vergangene Woche zum Ziel einer Phishing-Kampagne geworden: Angestellte sollten unter Vorwand einer Lohnerhöhung ein kompromittiertes RTF-File öffnen, welches anschliessend via Follina-Schwachstelle diverse Daten und Passwörter klauen würde.

Wie "Bleeping Computer" weiter schreibt, nutzen Kriminelle die Schwachstelle nun aus, um den Bankingtrojaner Qbot zu verbreiten. Hier dient ebenfalls Phishing als Einfallstor. Doch statt eines RTF-Dokuments komme in diesem Falle eine docx-Datei zum Einsatz.

Die Angreifer verwenden gekaperte E-Mail-Thread-Nachrichten mit HTML-Anhängen, welche ein ZIP-Archiv herunterladen, die eine IMG-Dateie enthält. In dieser IMG-Datei findet die Zielperson letztendlich eine DLL- und Worddatei sowie eine Verknüpfung.

Während die Verknüpfung direkt die Qbot-DLL-Datei lädt, die bereits im IMG enthalten ist, rufe das leere .docx-Dokument einen externen Server auf, um eine HTML-Datei zu laden, welche die Follina-Schwachstelle ausnutzt, um PowerShell-Code auszuführen, der eine andere Qbot-DLL herunterlädt und ausführt.

Noch ist kein offizieller Patch für die Schwachstelle verfügbar, einen inoffiziellen Workaround gibt es jedoch, mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_258782