{"id":27052,"date":"2021-07-13T09:46:22","date_gmt":"2021-07-13T07:46:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27052"},"modified":"2021-07-13T09:46:22","modified_gmt":"2021-07-13T07:46:22","slug":"icedid-qbot-banking-trojans-in-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/icedid-qbot-banking-trojans-in-spam\/27052\/","title":{"rendered":"Banking-Trojaner als Gesch\u00e4ftskorrespondenz getarnt"},"content":{"rendered":"

F\u00fcr Mitarbeiter, die t\u00e4glich hunderte von E-Mails erhalten, kann die Verlockung gro\u00df sein im \u201eAutopilot-Modus\u201c die E-Mails zu \u00fcberfliegen und Anh\u00e4nge herunterzuladen, ohne jegliche Faustregeln f\u00fcr IT-Sicherheit im B\u00fcro zu beachten. Cyberkriminelle machen sich das zunutze und verschicken E-Mails mit angeblich sehr wichtigen Dokumenten, die von Phishing-Links<\/a> bis hin zu Malware so ziemlich alles enthalten k\u00f6nnen. Unsere Experten haben vor Kurzem zwei recht gleichartige Spam-Kampagnen entdeckt<\/a>, \u00fcber die die Banking-Trojaner<\/a> IcedID und QBot verteilt werden.<\/p>\n

Spam mit sch\u00e4dlichen Dokumenten<\/h2>\n

Bei beiden Kampagnen wurden die Spammails als Unternehmenskorrespondenz getarnt. Im ersten Fall forderten die Angreifer einen auf Scheingr\u00fcnden beruhenden Schadenersatz oder gaben vor, eine Transaktion stornieren zu wollen. In der E-Mail war im Anhang eine komprimierte Excel-Datei mit dem Namen CompensationClaim (SchadenersatzForderung) und einige Nummern zu finden. Bei der zweiten Spam-Kampagne ging es um Zahlungen und Vertr\u00e4ge. Diese E-Mails enthielten einen Link zu einer gehackten Website, auf der das Archiv mit dem Dokument gespeichert wurde.<\/p>\n

In beiden F\u00e4llen versuchten die Angreifer die Empf\u00e4nger dazu zu verleiten, die sch\u00e4dliche Excel-Datei zu \u00f6ffnen und den Makrobefehl der Datei auszuf\u00fchren, wodurch entweder IcedID oder (in selteneren F\u00e4llen) QBot auf das Ger\u00e4t des Opfers heruntergeladen wurde.<\/p>\n

<\/strong><\/p>\n

IcedID und QBot<\/h2>\n

Die Banking-Trojaner IcedID und QBot gibt es schon seit einigen Jahren \u2013 IcedID wurde 2017 von Forschern entdeckt<\/a> und QBot wurde bereits 2008 zum ersten Mal gesichtet<\/a>. Das zeigt, dass Cyberkriminelle weiterhin ihre Taktik anpassen und optimieren. Beispielsweise wurde die Hauptkomponente von IcedID zeitweise mittels digitaler Steganographie<\/a> in Bildern im PNG-Format versteckt. Mit dieser Methode war es sehr schwer die Malware zu entdecken.<\/p>\n

Heute sind beide Programme \u00fcber die Schattenwirtschaft erh\u00e4ltlich, d. h., nicht nur die Entwickler verteilen die Trojaner, sondern auch alle ihre Kunden. Die Hauptaufgabe der Malware besteht darin, Daten von Bankkarten und Zugangsdaten f\u00fcr Bankkonten zu stehlen (vorzugsweise von Unternehmenskonten, deswegen werden \u00fcberwiegend B\u00fcromitarbeiter ins Visier genommen). Zu diesem Zweck verwenden die Trojaner verwenden verschiedene Methoden. Folgend einige Beispiele daf\u00fcr, wozu die Trojaner f\u00e4hig sind:<\/p>\n