Mobile Security, Verschlüsselung & Datensicherheit

Qbot/Qakbot: Eine gefährliche Banking-Malware

Qbot/Qakbot: Eine gefährliche Banking-Malware
Auch Nutzer in Deutschland und Großbritannien sind betroffen.

Eine neue gefährliche Variante der Banking-Malware Qbot/Qakbot haben Sicherheitsforscher von Varonis-Systems entdeckt. Ziel dieser Malware-Variante ist es, vertrauliche Finanzinformationen einschließlich Kontoinformationen zu stehlen. Angriffsziele sind US-amerikanische Unternehmen aber auch europäische und südamerikanische Nutzer sind betroffen.

Weltweit tausende Nutzer kompromittiert

Der Angriff wurde zunächst von der Nutzeranalyse-Lösung DatAlert erkannt, die einen nordamerikanischen Varonis-Kunden über Dropper-Aktivität, interne Lateralbewegungen und verdächtige Netzwerkaktivitäten informierte. Dem Varonis-Forscherteam gelang es durch Reverse-Engineering, den aktiven Command- and Control-Server des Angreifers zu identifizieren und damit das Ausmaß der Attacke zu bestimmen, wie netzpalaver.de dazu berichtete.

Demnach sind weltweit tausende Nutzer kompromittiert und werden aktiv von den Angreifern kontrolliert. Weitere Informationen, die durch die Untersuchung des Servers gewonnen werden konnten, deuten auf die Identität der Angreifer hin. Das Varonis-Team hat im Rahmen einer responsible disclosure (verantwortungsvolle Enthüllung) unter anderem zusätzliche nicht-öffentliche Informationen an die zuständigen Behörden weitergeleitet.

Identifizierung schwierig

Wie es weiter dazu heißt, nutzen die Cyberkriminellen für ihren Angriff eine neue Variante von Qbot/Qakbot, einer bereits seit 2009 bekannten und mittlerweile deutlich weiterentwickelten Malware, deren Ziel der Diebstahl von Banking-Zugangsdaten ist. Qbot verwendet dabei Anti-Analyse-Techniken, gefälschte oder gestohlene Sicherheitszertifikate und stets neue Angriffsvektoren, um sich einer Entdeckung zu entziehen, und ist in der Lage, sich wurmartig in Netzwerken auszubreiten.

Eine Identifizierung der Malware wird auch durch ihren polymorphen Charakter erschwert, d.h. sie verändert sich ständig. So erstellt sie Dateien und Ordner mit zufälligen Namen, ihre Dropper wechseln häufig den Command & Control-Server und auch der Malware-Loader ändert sich, wenn eine aktive Internetverbindung besteht.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben