Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Qakbot ist zurück

- Warnmeldung

Seit dem 11. Dezember 2023 ist die Schadsoftware Qakbot wieder aktiv. Im August 2023 hatten internationale Behörden den Administrationsserver von Qakbot infiltriert und seinen Betrieb unterbunden. Die Botnet-Struktur konnte damals zerschlagen werden.
Ein Fisch aus Papier mit Passwort

© Adobe Stock

Die Schadsoftware Qakbot ist zurück. Internationale Behörden hatten den Administrationsserver im vergangenen August infiltriert und seinen Betrieb unterbunden. 

Bösartige MSI-Datei statt PDF-Datei

In der neuen Phishing-Kampagne in kleinem Maßstab versuchte Qakbot, Malware zu verbreiten. Gerichtet waren die Phishing-Mails zunächst an das Gastgewerbe. Die Mails enthielten eine vermeintliche PDF-Datei, der Name der Datei sollte auf eine Gästeliste schließen lassen. Eine Vorschau konnte nicht angezeigt werden, was den Benutzer dazu verleiten sollte, die Datei herunterzuladen. Statt einer PDF-Datei wurde jedoch eine MSI-Datei heruntergeladen. Wenn diese Datei ausgeführt wird, wird die Schadsoftware Qakbot (DLL-Datei) in den Arbeitsspeicher geladen.

Sicherheitsforschende konnten aus der MSI-Datei den Kampagnen-Code tchk06 extrahieren sowie zwei C2-Server mit den IP-Adressen 45.138.74.191 und 65.108.218.24 jeweils auf Port 443.

Allgemeines zu Qakbot

Qakbot ist eine modular aufgebaute Schadsoftware, die für unterschiedliche Zwecke einsetzbar ist. Angreifernde verbreiten Qakbot per E-Mail, um sich so einen ersten Zugang zum Netzwerk einer Organisation zu verschaffen. Wenn dies gelungen ist, wird im Anschluss weitere Malware installiert (z. B. Ransomware).

Qakbot ist seit 2007 bekannt und hat sich seitdem ständig weiterentwickelt. Diese ständige  Weiterentwicklung macht Qakbot so gefährlich, weil Gegenmaßnahmen immer wieder angepasst werden müssen.

Alternative Namen bzw. Schreibweisen von Qakbot

Qakbot ist auch unter folgenden Namen bzw. Schreibweisen bekannt:

  • QuakBot
  • QBot
  • QuackBot
  • PinkslipBot

Bewertung

Qakbot war bis August 2023 eine omnipräsente Bedrohung, die in jüngster Zeit wieder erheblich Aufmerksamkeit erregt hat. Obwohl in Deutschland bisher keine direkten Vorfälle im Zusammenhang mit Qakbot bekannt sind, kann sich dies jederzeit ändern.

Bis August 2023 war Qakbot in Deutschland sehr aktiv und es gibt Anzeichen dafür, dass dies auch in naher Zukunft der Fall sein wird. Besonders besorgniserregend ist, das Qakbot auch von hochrangigen Akteuren wie BlackCat oder DarkGate als Angriffsvektor genutzt wird.

Empfehlungen

  • Sensibilisieren Sie Ihre Mitarbeitenden für die Gefahr, die von Phishing-Mails ausgeht.
  • Insbesondere sollte man nicht auf Anhänge oder Links klicken, die verdächtig erscheinen oder von einem unbekannten Absender kommen. Dies gilt vor allem dann, wenn der Absender um Geld oder persönliche Informationen bittet.
  • Bevor Sie auf einen Link klicken, positionieren Sie den Mauszeiger auf der sensitiven Linkfläche und warten Sie kurz, ohne zu klicken. Das sogenannte Mouseover zeigt das Linkziel an und dieses kann so besser beurteilt werden.
  • Wenn Sie eine entsprechende Mail erhalten haben, löschen Sie diese Mail.
  • Wenn Sie auf einen bösartigen Link geklickt haben, informieren Sie umgehend die zuständige Stelle (z. B. ISB/CISO). Sie entscheidet über weitere Maßnahmen.

Weitere Informationen

Mehr zu Qakbot