Aktuell haben es Cyber-Kriminelle vermehrt auf Firmennetzwerke abgesehen, die sie mittels eines Doppelschlags infizieren wollen: Sie verschicken gefälschte E-Mails, die vortäuschen von „echten“ Nutzern aus dem jeweiligen Netzwerk zu stammen, und versehen diese Mails mit infizierten PDF-Anhängen, die einen gegen IT-Sicherheitsmaßnahmen technisch aufgerüsteten Trojaner enthalten, der mit mehreren Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ausgestattet ist und so Sicherheitstools die Analyse erschwert und mögliche Detektoren umgehen kann.
Experten des Cyber-Sicherheitsanbieters Kaspersky haben zu Beginn dieses Monats eine neue Cyber-Crime-Kampagne aufgedeckt, bei der es die Kriminellen gezielt auf Anwender in Unternehmensnetzwerken abgesehen haben. Für ihr Vorhaben nutzen sie dabei neu weiterentwickelte Social-Engineering-Techniken. Nach dem Abfangen echter E-Mails leiten sie von innerhalb der Korrespondenzen Beiträge weiter, die PDF-Anhänge mit Schadsoftware enthalten. Mehr als 5.000 solche kriminelle E-Mails mit bösartigen PDF-Anhängen sind laut Kaspersky inzwischen bei Sicherheitsüberprüfungen entdeckt und unschädlich gemacht worden. [1]
Die derzeitige Angriffswelle hat nach Angaben des Unternehmens am Abend des 4. April 2023 begonnen. Verschickt werden seitdem E-Mails mit PDF-Dateien in englischer, deutscher, italienischer und französischer Sprache, die Qbot-Malware verbreiten. Bei Qbot, auch als Qakbot bekannt, handelt es sich um einen erstmals 2008 aufgetauchten Banking-Trojaner, der als Teil eines Botnetzes funktioniert und Daten wie Passwörter und geschäftliche E-Mail-Korrespondenzen stehlen kann. „Die Kernfunktionalität der Qbot-Malware hat sich in den vergangenen zwei Jahren nicht verändert; wir raten Unternehmen dazu, wachsam zu bleiben, da die Malware sehr gefährlich ist“, kommentiert Darya Ivanova, Malware Analystin bei Kaspersky. Bedrohungsakteure können mittels Qbot ein infiziertes System kontrollieren und Ransomware oder weitere Schadsoftware auf Geräten im Netzwerk installieren. [2] Qbot-Malware wird mittels unterschiedlicher Methodiken verbreitet, E-Mail-Kampagnen mit diesem Trojaner in einem schädlichen PDF-Anhang sind jedoch bislang noch nicht häufig vorgekommen.
Wenn Cyber-Kriminelle die Möglichkeit haben gestohlene E-Mail-Korrespondenzen von Unternehmen zu nutzen, dann verbreiten sie ihre Schadsoftware über die echte Geschäftskorrespondenz. Sie leiten einfach eine E-Mail an alle Teilnehmer eines bestehenden Threads weiter und fordern die Adressaten in der Regel unter Angabe eines plausiblen Grundes dazu auf, den infizierten PDF-Anhang zu öffnen. Die Betrüger bitten beispielsweise darum, alle im Anhang enthaltenen Unterlagen zu prüfen oder enthaltene Informationen als Grundlage für zu veranschlagende Kosten zu nutzen. Öffnet ein Adressat das PDF, wird ein schädliches Archiv von einem Remote-Server auf den Computer des Opfers heruntergeladen. „Cyberkriminelle entwickeln ihre Techniken ständig weiter und integrieren zusätzliche überzeugendere Social-Engineering-Elemente,“ warnt Kaspersky-Analystin Ivanova. „Somit erhöht sich die Wahrscheinlichkeit, dass ein Mitarbeiter auf ihre Masche hereinfällt. Um sich davor zu schützen, sollten Warnsignale wie beispielsweise die Schreibweise der E-Mail-Adresse des Absenders, merkwürdige Anhänge oder grammatikalische Fehler sorgfältig geprüft werden. Allen voran kann der Einsatz spezieller Cybersecurity-Lösungen die Sicherheit von Geschäft-E-Mails gewährleisten.“
[1] https://www.kaspersky.com/blog/qbot-pdf-mailout/47902
[2] https://www.kaspersky.de/enterprise-security/security-awareness
