QakBot

Inhaltsverzeichnis
  1. Beispiel
  2. Entwicklung
  3. Weitere Links

Ich weis zwar nicht, das die Malware-Entwickler auf den Namen "QakBot" gebracht hat. QakBot ist eine Malware, die sich auf ein gekapertes Postfach verbindet, die dort enthaltenen Mails und Kontakte nutzt und individuelle Antworten an die Absender verschickt. Natürlich mit einem Link zu eine Malware.

Beispiel

Interessant ist aber, wenn Sie als aufmerksamer Empfänger diesen Versuch erkennen und den Absender der Mail darüber in Kenntnis setzen. Wenn die Malware noch aktiv ist, dann reagiert sie sehr schnell auf die Mail mit einer Antwort, die natürlich wieder auf eine Webseite verweist, die mit der Malware verseucht ist.

Ganz schön ausgefuchst. Das ganz funktioniert natürlich nur, wenn die Anwender überhaupt mitspielen, ihr Konto nicht sauber sichern, die Administratoren keine Unregelmäßigkeiten bei Anmeldvorgängen und Postfachzugriffen analysieren und jemand die Anlagen auch noch herunter lädt, auspackt und ausführt.

Solche Mails als Spam zu erkennen ist, wie auch bei Bitcoinspam über URl Shortener und JavaScript nicht einfach, da die Mails ja sehr gut auf den Kunden zugeschnitten sind und eine direkte Antwort auf eine aktuelle Mail oder frühere Konversation ist.

Hier ist ganz klar die Unterweisung und Sensibilisierung der Anwender gefragt, dass Sie nicht auf solche Dinge hereinfallen.

Das ist übrigens ein sehr guter Aufhänger, um die Mitarbeiter auch im privaten Umfeld zu sensibilisieren und vielleicht doch mal ein Backup der wichtigen Dokumente anzulegen. Ein Verschlüsselungstrojaner scheint mir langsam wahrscheinlicher als ein Festplattendefekt.

Entwicklung

Meine Kollegen im Bereich NoSpamProxy haben die Entwicklung quasi "realtime" beobachtet. Zuerst hätte man ja als Spamfilter einfach nach Regelmäßigkeiten in den Pfaden der Malware-Anlage suchen können. Aber die andere Seite schläft nicht.

Zeitpunkt Veränderung

Bis ca. 26.5.2020

Bis dahin wurden "WPContent"-Pfade für die Malware verwendet. Quakbot hat aber wohl immer weniger Ziele erreicht, so dass die Absender immer weniger Aktivität gezeigt haben

Ab ca. 26.5.2020

Wir konnten eine erneute Zunahme der Malware erkennen, die nun aber auf "/wpcontent" komplett verzichtet.

Die Angreifer haben also wohl darauf reagiert, dass einige Spamfilter sich auf den Pfad getriggert haben. Allerdings gibt es noch ein "Muster" bei den Dateinamen, die ascheinend auf das Datum enden.

ab 8.6.2020

Das haben die Versender dann ca. 2 Tage später "korrigiert". Nun sind die Dateinamen zufällig und jeder Empfänger bekommt auch eine individuelle Datei

ab 9.6.2020

Der Schadcode in der ZIP-Datei wurde von "VBS" auf Word-Makros umgestellt um aber kurz darauf wieder auf VBS zu schwenken. Vieleicht wurde einfach mal getestet, ob "*.DOC"-Dateien besser durch Spamfilter kommen.

Ich bin sicher, das die Autoren ihre Malware immer weiter verändern und die Aktivität noch weiter zunimmt

Allerdings wird es auf Dauer wohl nicht helfen, URLs zu blocken. Es gibt einfach zu viele URLs und gekaperte Webseiten.

Als Spamfilter-Admin rate ich dazu, dass man solche Anlagen grundsätzlich ablehnt. Nicht nur "*.vbs"-Anlagen sondern auch "*.doc, *.xls, *.ppt" sollten im Jahr 2020, also 13 Jahre nach der Einführung des neuen Formats mit Office 2007, nicht mehr genutzt werden dürfen.

Weitere Links