Qbot: Alter Bot mit neuen fiesen Tricks

Alte Löwen bleiben gefährlich, zeigen Sicherheitsexperten von Check Point: Der berüchtigte Banktrojaner Qbot ist seit mehr als einem Jahrzehnt im Geschäft. Die Malware, die auch als Qakbot und Pinkslipbot bezeichnet wird, wurde 2008 entdeckt und ist dafür bekannt, dass sie Browsing-Daten sammelt und Bankausweise und andere Finanzinformationen von den Opfern stiehlt. Sie ist hochgradig strukturiert, vielschichtig und wird ständig mit neuen Funktionen weiterentwickelt, um ihre Fähigkeiten zu erweitern.

Diese neuen Tricks bedeuten, dass Qbot trotz seines Alters immer noch eine gefährliche und anhaltende Bedrohung für Organisationen darstellt.  Er ist zum Malware-Äquivalent eines Schweizer Armeemessers geworden.

Er kann Informationen von infizierten Rechnern stehlen, einschließlich Passwörter, E-Mails, Kreditkartendaten und mehr sowie andere Malware auf infizierten Rechnern installieren, einschließlich Ransomware. Qbot erlaubt zudem dem Bot-Controller, sich mit dem Computer des Opfers zu verbinden (auch wenn das Opfer eingeloggt ist), um von der IP-Adresse des Opfers aus Bankgeschäfte zu tätigen. Er kann sogar legitime E-Mail-Threads von Benutzern aus ihrem Outlook-Client entführen und mit diesen Threads versuchen, die PCs anderer Benutzer zu infizieren.

Eine prominente Kampagne mit QBot lief von März bis Ende Juni dieses Jahres.   „Wir gingen davon aus, dass die Kampagne gestoppt wurde, um denjenigen, die hinter QBot stehen, die weitere Entwicklung von Malware zu ermöglichen, aber wir haben nicht damit gerechnet, dass sie so schnell wieder zurückkehren würde“, erklärt Check Point.

Gegen Ende Juli kehrte eine der schwerwiegendsten heutigen Cyber-Bedrohungen, der Trojaner Emotet, zu voller Aktivität zurück und startete mehrere Malspam-Kampagnen, von denen 5% der Organisationen weltweit betroffen waren, darunter auch zahlreiche aus Deutschland. Zu einigen dieser Kampagnen gehörte die Installation einer aktualisierten Version von Qbot auf den PCs der Opfer. Einige Tage später identifizierten wir eine neuere Qbot-Probe, die im Rahmen der letzten Emotet-Kampagne abgeworfen wurde. Dabei entdeckte Check Point Research eine erneuerte Befehls- und Kontrollinfrastruktur und brandneue Malware-Techniken, die über den Infektionsprozess von Emotet verbreitet wurden.

Als ob das noch nicht genug wäre, wurde die Qbot-Malspam-Kampagne Anfang August wieder aufgenommen, verbreitete sich weltweit und infizierte neue Ziele. Einer der neuen Tricks von Qbot ist besonders bösartig, denn sobald ein Rechner infiziert ist, aktiviert er ein spezielles „E-Mail-Sammler-Modul“, das alle E-Mail-Threads aus dem Outlook-Client des Opfers extrahiert und auf einen hartcodierten Remote-Server hochlädt. Diese gestohlenen E-Mails werden dann für zukünftige Malspam-Kampagnen verwendet, wodurch es für die Benutzer einfacher wird, sich dazu verleiten zu lassen, auf infizierte Anhänge zu klicken, da die Spam-E-Mail eine bestehende legitime E-Mail-Konversation fortzusetzen scheint.  Die Forscher von Check Point haben Beispiele für gezielte, gekaperte E-Mail-Threads mit Themen im Zusammenhang mit Covid-19, Steuerzahlungserinnerungen und Stellenanzeigen gesehen.