Aktuelles, Branche - geschrieben von cp am Donnerstag, Februar 28, 2019 20:59 - noch keine Kommentare
Banking-Malware Qbot/Qakbot: Sicherheitsforscher identifizieren neue gefährliche Variante
Weltweite Kampagne der polymorphen Malware trifft insbesondere USA und Europa
[datensicherheit.de, 28.02.2019] Sicherheitsforscher von Varonis Systems, Inc. haben eine weltweite Malware-Kampagne entdeckt, die eine neue Variante der Banking-Malware Qbot (auch Qakbot) nutzt, um vertrauliche Finanzinformationen einschließlich Kontoinformationen zu stehlen. In erster Linie sind hiervon US-amerikanische Unternehmen betroffen, jedoch finden sich auch europäische (insbesondere britische und deutsche) und südamerikanische Nutzer unter den Opfern.
Der Angriff wurde zunächst von der Nutzeranalyse-Lösung DatAlert erkannt, die einen nordamerikanischen Varonis-Kunden über Dropper-Aktivität, interne Lateralbewegungen und verdächtige Netzwerkaktivitäten informierte. Dem Varonis-Forscherteam gelang es durch Reverse Engineering, den aktiven Command- and Control-Server des Angreifers zu identifizieren und damit das Ausmaß der Attacke zu bestimmen. Demnach sind weltweit tausende Nutzer kompromittiert und werden aktiv von den Angreifern kontrolliert. Weitere Informationen, die durch die Untersuchung des Servers gewonnen werden konnten, deuten auf die Identität der Angreifer hin. Das Varonis-Team hat im Rahmen einer responsible disclosure (verantwortungsvolle Enthüllung) unter anderem zusätzliche nicht-öffentliche Informationen an die zuständigen Behörden weitergeleitet.
Angriffe mit weiterentwickelter Variante von Qbot/Qakbot
Die Cyberkriminellen nutzen für ihren Angriff eine neue Variante von Qbot/Qakbot, einer bereits seit 2009 bekannten und mittlerweile deutlich weiterentwickelten Malware, deren Ziel der Diebstahl von Banking-Zugangsdaten ist. Qbot verwendet dabei Anti-Analyse-Techniken, gefälschte oder gestohlene Sicherheitszertifikate und stets neue Angriffsvektoren, um sich einer Entdeckung zu entziehen, und ist in der Lage, sich wurmartig in Netzwerken auszubreiten. Eine Identifizierung der Malware wird auch durch ihren polymorphen Charakter erschwert, d.h. sie verändert sich ständig. So erstellt sie Dateien und Ordner mit zufälligen Namen, ihre Dropper wechseln häufig den Command & Control-Server und auch der Malware-Loader ändert sich, wenn eine aktive Internetverbindung besteht.
Weitere Informationen zum Thema:
Varonis
Varonis Exposes Global Cyber Campaign: C2 Server Actively Compromising Thousands of Victims
datensicherheit.de, 30.11.2018
Marriott: Erster Mega-Datendiebstahl der DSGVO-Ära
datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen
Aktuelles, Experten, Studien - Sep. 3, 2025 0:36 - noch keine Kommentare
Smartphone als Multifunktionsgerät: Wecker, Kamera, Navigationsgerät
weitere Beiträge in Experten
- eco begrüßt BMDS-Eckpunkte zur geplanten TKG-Novelle
- ACSL in Karlsruhe: Neues KI-Institut erforscht Denkmaschinen
- Bundesnetzagentur als Digital Services Coordinator: eco fordert mehr personelle Ressourcen
- Milka-Schokolade: Verbraucherzentrale Hamburg klagt wegen Mogelpackung
- PayPal-Zahlungsausfälle: Verbraucherzentrale NRW gibt Betroffenen Empfehlungen
Aktuelles, Branche - Sep. 3, 2025 13:08 - noch keine Kommentare
Unternehmen im Visier: hensec meldet Zunahme der Nachfrage nach Abhörschutztechnik
weitere Beiträge in Branche
- Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure
- facebook: Vorgetäuschte Kontosperrung als Phishing-Attacke
- Task Scams: Trend Micro warnt vor digitalem Job-Betrug
- Zum Bundesliga-Start warnt Kaspersky vor cyberkriminellem Angriffs-Portfolio
- PromptLock: ESET-Warnung vor erster autonomer KI-Ransomware
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren