Neue Schadsoftware-Welle liefert QuakBot aus

03.06.2020
Update vom 03.06.2020: Artikel aktualisiert, ursprünglicher Artikel war vom 20.05.2020.
Update vom 27.05.2020: In dem vorherigen Artikel war ein Bezug zu Emotet hergestellt worden, dieser ist nach Informationen des BSI nicht gegeben.
Bei uns mehren sich Hinweise darauf, dass eine neue Schadsoftware-Welle gerade beginnt. Wie schon von anderen Kampagnen aus der Vergangenheit bekannt geworden, werden auch hier E-Mails als Antworten in bestehender Kommunikation versendet. Die versendeten E-Mails enthalten einen kurzen Text und einen Link zum Download einer ZIP-Datei, getarnt als Darlehensvertrag:

Beispiel für diese Art von Mails:

Es ist dieser Bericht, den Sie gebraucht haben. Wenn ich etwas verpasst habe, müssen Sie sich bei mir melden. Es ist unten angehängt. Hoffentlich von meiner Seite ist alles gut.

Sie müssen sich diese Berechnungen ansehen und überprüfen, ob sie korrekt sind. Benachrichtigen Sie mich über etwaige Inkonsistenzen.

Hier ist die Datei. Stellen Sie sicher, dass Sie es durchsehen. Bitte lassen Sie mich wissen, wie ist Ihre Meinung dazu.
Die ZIP-Dateien enthalten jeweils ein Skript, das bei Ausführung die Schadsoftware QuakBot herunterlädt.

Es gibt auch Anzeichen dafür, dass der Verschlüsselungstrojaner ProLock in bestimmten Fällen von QakBot nachgeladen wird.



Wenn Sie als Firma oder Behörde eine solche Mail empfangen und geöffnet haben, sollten Sie sich umgehend mit Ihrem IT-Dienstleister in Verbindung setzen. Setzen Sie auch ggf. den Absender der E-Mails darüber in Kenntnis, dass sein IT-System kompromittiert sein könnte.

Info über QakBot
Malpedia Eintrag zu QakBot
QakBot IoCs
MalwareQuinns QakBot IoC Paste
URLs in Verbindung mit QakBot (von URLHaus)
Getaggt als QakBot
Getaggt als QuakBot
Info zu Emotet und QuakBot / Qakbot / Qbot
Kurzer Bericht auf ZIX.com
Emotet IoCs
Cryptolaemus Emotet IoC Paste

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/46

Klicken Sie hier und abonnieren Sie unseren Newsletter.