1. März 2019 Klaus Lorbeer/pi

Varonis warnt vor neuer Variante der Banking-Malware Qbot

Sicherheitsforscher von Varonis Systems haben eine neue Variante der Banking-Malware Qbot (auch Qakbot) entdeckt, mit der Hacker versuchen, vertrauliche Finanzinformationen einschließlich Kontoinformationen zu stehlen. Besonders betroffen: USA und Europa. [...]

Die weltweiten Angriffe mit der polymorphen Malware Qbot/Qakbot trifft laut Varonis insbesondere USA und Europa.
Die weltweiten Angriffe mit der polymorphen Malware Qbot/Qakbot trifft laut Varonis insbesondere USA und Europa. (c) Varonis Systems

Die aktuelle Angriffswelle wurde zunächst von der Nutzeranalyse-Lösung DatAlert erkannt, die einen nordamerikanischen Varonis-Kunden über Dropper-Aktivität, interne Lateralbewegungen und verdächtige Netzwerkaktivitäten informierte. Dem Varonis-Forscherteam gelang es durch Reverse Engineering, den aktiven Command- and Control-Server des Angreifers zu identifizieren und damit das Ausmaß der Attacke zu bestimmen. Demnach sind weltweit tausende Nutzer kompromittiert und werden aktiv von den Angreifern kontrolliert.  In erster Linie sind hiervon US-amerikanische Unternehmen betroffen, jedoch finden sich auch europäische (insbesondere britische und deutsche) und südamerikanische Nutzer unter den Opfern.

Weitere Informationen, die durch die Untersuchung des Servers gewonnen werden konnten, deuten auf die Identität der Angreifer hin. Das Varonis-Team hat im Rahmen einer responsible disclosure (verantwortungsvolle Bekanntmachung) unter anderem zusätzliche nicht-öffentliche Informationen an die zuständigen Behörden weitergeleitet.

Seit 2009 bekannt und jetzt noch gefährlicher

Die Cyberkriminellen nutzen für ihren Angriff eine neue Variante von Qbot/Qakbot, einer bereits seit 2009 bekannten und mittlerweile deutlich weiterentwickelten Malware, deren Ziel der Diebstahl von Banking-Zugangsdaten ist. Qbot verwendet dabei Anti-Analyse-Techniken, gefälschte oder gestohlene Sicherheitszertifikate und stets neue Angriffsvektoren, um sich einer Entdeckung zu entziehen, und ist in der Lage, sich wurmartig in Netzwerken auszubreiten. Eine Identifizierung der Malware wird auch durch ihren polymorphen Charakter erschwert, d.h. sie verändert sich ständig. So erstellt sie Dateien und Ordner mit zufälligen Namen, ihre Dropper wechseln häufig den Command & Control-Server und auch der Malware-Loader ändert sich, wenn eine aktive Internetverbindung besteht.

Weitere Information dazu findet sich hier auf dem Varonis-Blog.


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*