Alert!

Zero-Day-Lücke: Cybergangs missbrauchen MSDT-Leck für Qakbot-Infektionen

Die Cybergang hinter der Malware Quakbot missbraucht in Phishing-Kampagnen die MSDT-Zero-Day-Lücke. Infizierte Rechner verkauft sie meist an Ransomware-Banden.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Aufmacher Qakbot missbraucht MSDT-Zero-Day-Lücke

(Bild: Dmitry Demidovich/Shutterstock.com)

Lesezeit: 2 Min.
Von

Für die Zero-Day-Sicherheitslücke in Microsofts Diagnostic Tool (MSDT) steht noch immer kein Update bereit – aber die Cyberkriminellen greifen die Schwachstelle in zunehmenden Maße an. Jetzt haben IT-Sicherheitsforscher Dynamit-Phishing-Mails aufgespürt, die am Ende die Malware Qakbot installieren.

Solche Mails scheinen von bekannten Absendern zu kommen und zitieren oftmals sogar eigene E-Mails des Empfängers. Das soll Vertrauen wecken und das potenzielle Opfer zum Öffnen des angehängten Dokuments bewegen.

Qakbot – auch als Qbot bekannt – ist eine Malware, die im vergangenen Jahr Emotet ablöste und die Lücke füllte, die die Zerschlagung der Emotet-Infrastruktur hinterließ. Auch die Dynamit-Phishing-Masche von Emotet imitiert die Cybergang hinter der Schadsoftware. Derart infiltrierte Maschinen bieten sie dann anderen Cybergangs an, die dort meist Ransomware installieren, um Lösegeld von Opfern zu erpressen.

Die jetzt aufgespürten E-Mails haben einen HTML-Dateianhang. Beim Öffnen legt dieser ein ZIP-Archiv ab. Darin enthalten ist eine IMG-Abbild-Datei. Darin schließlich liegen eine .lnk-Verknüpfung und eine .dll-Bibliothek nebst einem .docx-Dokument.

Bei der DLL handelt es sich um eine Qakbot-Version, die mit dem Aufruf der LNK-Verknüpfung ausgeführt wird und die Malware installiert. Das Dokument hingegen missbraucht die MSDT-Sicherheitslücke, um eine andere Qakbot-Version herunterzuladen und auf dem Rechner zu verankern.

Das IT-Sicherheitsunternehmen Proofpoint bestätigt das Auftauchen der Qakbot-Malware. Sie stamme von dem Threat Actor TA570, der seit mehreren Jahren aktivster Partner der Qakbot-Malware sei.

Die Sicherheitslücke, für die es immer noch kein Update seitens Microsoft gibt, rückt immer weiter ins Visier von Cyberkriminellen. Um sich effektiv gegen derartige Angriffe zu wappnen, bleibt derzeit lediglich, einen von Microsoft vorgeschlagenen Workaround anzuwenden und den ms-msdt-Protokoll-Handler zu entfernen.

Nutzer müssen dazu zunächst eine administrative Eingabeaufforderung öffnen. Der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>. Im Anschluss löscht der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betreffenden Schlüssel. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname> an der administrativen Eingabeaufforderung.

Lesen Sie dazu auch:

(dmk)