Qbot-Malware: ein alter Bekannter mit neuen Tricks
Das NCSC warnt in seinem aktuellen Wochenrückblick vor der Malware Qbot, auch bekannt als Qakbot. Die Schadsoftware ist schon lange weit verbreitet - die Bedrohungsakteure setzen nun auf neue Methoden, um sie auf die Computer ihrer Opfer zu bringen.
Qbot ist längst keine Unbekannte mehr. Die Schadsoftware, auch bekannt als Qakbot, führt seit Monaten das Ranking der meistverbreiteten Malware der Schweiz an. Das Nationale Zentrum für Cybersicherheit (NCSC) warnt in seinem Rückblick auf die Kalenderwoche 24 vor neuen Wegen, auf denen Qbot installiert wird. Dem NCSC wurden in den vergangenen Wochen zwei solcher Methoden gemeldet.
Die falsche Fehlermeldung als Ablenkung
Beide Varianten beginnen mit einer E-Mail. Diese enthält im ersten Beispiel einen Link, auf den das Opfer klicken soll. Statt einer Website bekommt dieses aber eine Fehlermeldung zu sehen: "404 - Page not found". Im Hintergrund werde zeitgleich eine JavaScript-Datei heruntergeladen. Diese trägt einen immer wechselnden, unverfänglichen Namen, etwa "Borrowing.js", wie es weiter heisst.
Die vermeintliche Fehlermeldung auf der Website soll vom Download ablenken, erklärt das NCSC. Die Angreifer würden wohl darauf bauen, dass ihre Opfer erst später zufällig über die neue Datei in ihrem Download-Ordner stolpern und diese aus Interesse anklicken. Wird die Datei ausgeführt, öffnet sie im Hintergrund ein PowerShell-Skript, das wiederum versucht, über insgesamt vier IP-Adressen den eigentlichen Schadcode aus dem Internet herunterzuladen.
Der Knopf im PDF
Die zweite Variante kommt ebenfalls per Mail. Diesmal soll die Empfängerin oder der Empfänger eine angehängte PDF-Datei öffnen. Dabei erscheint der Hinweis, dass das Dokument Dateien enthalte und geschützt sei - man möge deshalb auf den Button mit der Beschriftung "Open" klicken, um die Dateien anzusehen. Nach dem Klick auf besagtes Feld öffne sich im Hintergrund ein leeres Browserfenster, schreibt das NCSC. Gleichzeitig starte der Download einer ZIP-Datei, welche die oben beschriebene JavaScript-Datei enthält. Von da an ist der Ablauf der gleiche wie im ersten Beispiel.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.