{"id":30032,"date":"2023-04-19T12:01:57","date_gmt":"2023-04-19T10:01:57","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30032"},"modified":"2023-04-19T12:01:57","modified_gmt":"2023-04-19T10:01:57","slug":"qbot-pdf-mailout","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/qbot-pdf-mailout\/30032\/","title":{"rendered":"QBot-Trojaner wird \u00fcber Gesch\u00e4fts-E-Mails verbreitet"},"content":{"rendered":"

Anfang April entdeckten die Experten von Kaspersky eine Massen-E-Mail-Kampagne, bei der Nachrichten mit einer sch\u00e4dlichen PDF-Datei im Anhang verschickt wurden. Ziel der Angreifer sind Unternehmen: Ein gef\u00e4hrliches Dokument wird an gesch\u00e4ftliche E-Mails angeh\u00e4ngt (wir haben E-Mails in englischer, deutscher, italienischer und franz\u00f6sischer Sprache entdeckt). Das Ziel der Kampagne ist es, die Computer der Opfer mit der Malware QBot, auch bekannt als QakBot, QuackBot oder Pinkslipbot, zu infizieren. Interessanterweise beobachteten unsere Spezialisten vor etwa einem Jahr einen \u00e4hnlichen pl\u00f6tzlichen Anstieg der Zahl der E-Mails<\/a>, die Malware (einschlie\u00dflich QBot) enthielten.<\/p>\n

Wie ein Angriff aus der Sicht des Opfers aussieht<\/h2>\n

Der Angriff basiert auf der Taktik des \u201eConversation Hijacking\u201c. Dabei verschaffen sich die Hacker Zugang zu authentischen Gesch\u00e4ftskorrespondenzen (QBot stiehlt unter anderem lokal gespeicherte E-Mails von den Computern vorheriger Opfer) und mischen sich in den Dialog ein, indem sie ihre Nachrichten so versenden, als w\u00fcrden sie ein \u00e4lteres Gespr\u00e4ch fortsetzen. In den E-Mails wird versucht, die Opfer dazu zu bringen, eine angeh\u00e4ngte PDF-Datei zu \u00f6ffnen, die als Kostenaufstellung oder anderes Gesch\u00e4ftsdokument getarnt ist, das eine schnelle Reaktion erfordert.<\/p>\n

Eine neue Welle sch\u00e4dlicher Gesch\u00e4fts-E-Mails zielt darauf ab, Firmencomputer mit dem #QBot-Trojaner zu infizieren. #ITSecurity<\/p>Tweet<\/a><\/blockquote>\n

In Wahrheit enth\u00e4lt die PDF-Datei jedoch die Imitation einer Benachrichtigung von Microsoft Office 365 oder Microsoft Azure. Mit dieser Benachrichtigung wird versucht, das Opfer dazu zu bringen, auf die Schaltfl\u00e4che \u201e\u00d6ffnen\u201c zu klicken. L\u00e4sst sich das Opfer darauf ein, wird ein passwortgesch\u00fctztes Archiv auf den Computer heruntergeladen (wobei das Passwort im Text der \u201eBenachrichtigung\u201c selbst enthalten ist). Der Empf\u00e4nger wird dann aufgefordert, das Archiv zu entpacken und die darin enthaltene .wsf-Datei (Windows Script File) auszuf\u00fchren. Dabei handelt es sich um ein sch\u00e4dliches Skript, das die QBot-Malware von einem Remote-Server herunterl\u00e4dt. Eine ausf\u00fchrlichere technische Beschreibung aller Phasen des Angriffs, sowie Indikatoren f\u00fcr eine Kompromittierung, finden Sie hier auf der Securelist-Website<\/a>.<\/p>\n

Wozu kann eine Infektion mit QBot f\u00fchren?<\/h2>\n

Unsere Experten klassifizieren QBot als Banking-Trojaner. Er erm\u00f6glicht es Angreifern, Anmeldedaten (Logins und Passw\u00f6rter) sowie Cookies von Browsern auszuspionieren, E-Mails zu stehlen, Bankaktivit\u00e4ten auszusp\u00e4hen und Tastenanschl\u00e4ge aufzuzeichnen. Au\u00dferdem ist er in der Lage, andere Malware (z. B. Ransomware) zu installieren.<\/p>\n

Wie k\u00f6nnen Sie sich sch\u00fctzen?<\/h2>\n

Um Ihr Unternehmen vor Cyberkriminellen zu sch\u00fctzen, empfehlen wir die Installation einer zuverl\u00e4ssigen Cybersicherheitsl\u00f6sung<\/a> auf allen Unternehmensger\u00e4ten mit Internetzugang. Ebenfalls hilfreich ist die Ausstattung des Mailgateways mit einem Produkt, das sch\u00e4dliche, Phishing- und Spam-E-Mails herausfiltern kann<\/a>. Damit Ihre Mitarbeiter auch in der Lage sind, die Methoden von Angreifern eigenst\u00e4ndig zu erkennen, m\u00fcssen sie regelm\u00e4\u00dfig f\u00fcr moderne Cyberbedrohungen sensibilisiert werden<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Hacker verbreiten den QBot-Trojaner \u00fcber gesch\u00e4ftliche E-Mails.<\/p>\n","protected":false},"author":2730,"featured_media":30033,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,3108],"tags":[4053,3287,257],"class_list":{"0":"post-30032","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-banker","12":"tag-mail","13":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/qbot-pdf-mailout\/30032\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/qbot-pdf-mailout\/25510\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/qbot-pdf-mailout\/20942\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/qbot-pdf-mailout\/28126\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/qbot-pdf-mailout\/25816\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/qbot-pdf-mailout\/26224\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/qbot-pdf-mailout\/28710\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/qbot-pdf-mailout\/35113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/qbot-pdf-mailout\/47902\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/qbot-pdf-mailout\/20466\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/qbot-pdf-mailout\/21139\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/qbot-pdf-mailout\/26144\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/qbot-pdf-mailout\/31821\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/qbot-pdf-mailout\/31507\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/trojaner\/","name":"Trojaner"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30032","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2730"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30032"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30032\/revisions"}],"predecessor-version":[{"id":30034,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30032\/revisions\/30034"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30033"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30032"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30032"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30032"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}