Botnet: Qakbot wieder aktiv mit neuer Phishing-Kampagne
Im August haben internationale Strafverfolger das Quakbot-Botnetz außer Gefecht gesetzt. Jetzt hat Microsoft eine neue Phishing-Kampagne entdeckt.
(Bild: PORTRAIT IMAGES ASIA BY NONWARIT/Shutterstock.com)
Das Botnet Qakbot steht vor einer Renaissance: Microsofts Threat Intelligence-Team hat eine Phishing-Kampagne beobachtet, mit der Kriminelle die Schadsoftware potenziellen Opfern unterjubeln wollten. Erst im August dieses Jahres gelang es internationalen Strafverfolgern, das Botnet lahmzulegen.
Wie die IT-Sicherheitsforscher auf X mitteilen, startete die Kampagne vor einer Woche, am 11. Dezember. Der Umfang war demnach jedoch gering. Die Täter hatten das Gastgewerbe im Visier. Den Phishing-Mails hingen PDF-Dokumente an, die die Absender als vermeintliche Angestellte der US-Steuerbehörde IRS ausgeben.
Qakbot-Phishing: PDFs mit Malware-Links
Der weiteren Analyse zufolge enthielten die PDF-Dateien eine URL, die einen signierten Windows-Installer als .msi-Datei herunterlädt. Bei der Ausführung des MSI-Installers wird eine eingebettete .dll-Bibliothek ausgeführt, die den Qakbot-Code enthält. Zeitstempel in dem eingebetteten Schadcode deuten darauf hin, dass die Schadsoftware ebenfalls am 11. Dezember erstellt wurde. Microsofts Malware-Analysten konnten auch den Kampagnen-Code "tchk06" extrahieren.
Neu ist die bislang noch nicht beobachtete Versionsnummer 0x500, führen die IT-Forscher weiter aus. Zwei IP-Adressen von Command-and-Control-Servern haben sie dabei gesehen: 45[.]138.74.191 sowie 65[.]108.218.24.
Das Qakbot-Botnet könnte dadurch vor der Wiederauferstehung stehen. Durch einen langsamen Aufbau mit Botnet-Drohnen von vermeintlich schlechter geschützten Opfern im Gastgewerbe legen die Cyberkriminellen potenziell einen neuen Grundstein.
Das Qakbot-Botnet war recht groß. Als internationale Strafermittler zusammen mit dem FBI im August dieses Jahres das Botnet außer Gefecht setzten, haben Sie die Malware von 700.000 infizierten Maschinen entfernt.
(dmk)
