Die Windows-Malware-Kampagne taucht erneut auf und versucht mit neuen Techniken, unter dem Radar zu bleiben.
Eine bekannte Form von Malware, die Anmeldedaten und Finanzen von Unternehmen stiehlt über ein Jahrzehnt wurde erneut mit neuen Tricks aktualisiert, um das Vermeiden effektiver zu machen Erkennung.
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
Qakbot – auch bekannt als Qbot – war von denen Unternehmen seit 2008 betroffen sind, indem es sich wurmartige Fähigkeiten zunutze macht, um sich zu verbreiten. Der Informationsdiebstahl Trojaner-Malware zielt auf Microsoft Windows-Systeme ab, um Hintertüren zu erstellen und Benutzernamen und Passwörter zu erbeuten, die den Zugriff auf Finanzdaten ermöglichen.
Jetzt wurde Qakbot mit einem neuen Persistenzmechanismus aktualisiert, der es Opfern erschwert, die Malware zu erkennen und zu entfernen. Die neue Verschleierungstechnik wurde von Cybersecurity detailliert beschrieben
Forscher bei Cisco Talos.SEHEN: Eine erfolgreiche Strategie für Cybersicherheit(ZDNet-Sonderbericht) | Laden Sie den Bericht als PDF herunter(TechRepublic)
Opfer der Malware werden in der Regel über einen Dropper infiziert, der bei erfolgreicher Installation eine geplante Aufgabe auf dem Computer erstellt infizierten Computer, der ihn anweist, einen JavaScript-Downloader von einem von mehreren vom Angreifer gesteuerten Schadprogramm auszuführen Domänen.
Diese verzeichneten im April einen Anstieg der Anfragen, der offenbar mit einer neuen Qakbot-Kampagne und einer Änderung des Persistenzmechanismus zusammenfällt.
Der neue Downloader fordert immer Ressourcen vom gleichen Uniform Resource Identifier auf den gekaperten Domänen an, die XOR sind verschlüsselt, um dabei zu helfen, die in einem JavaScript-Downloader enthaltenen bösartigen Daten zu verschleiern und der Malware ihre Arbeit zu ermöglichen Aufgaben.
Dazu trägt auch bei, dass die Malware nun in zwei separate Dateien aufgeteilt wird, die nur wieder zusammengesetzt werden Qakbot bereitzustellen, wenn die gelöschte ausführbare Datei ausgeführt wird – was es für Antivirensoftware schwieriger macht, dies zu tun erkennen.
„Eine Erkennung, die sich auf die vollständige Übertragung der schädlichen ausführbaren Datei konzentriert, würde diese aktualisierte Version von Qakbot wahrscheinlich übersehen. Aufgrund dieser Aktualisierung der Persistenzmechanismen wird die Übertragung der bösartigen Qbot-Binärdatei verschleiert So weit, dass einige Sicherheitsprodukte es übersehen könnten“, sagte Ashlee Benge, Sicherheitsforscherin bei Cisco Talos.
Sobald die Trojaner-Malware auf einem infizierten System eingesetzt wird, arbeitet sie im Hintergrund, um die relevanten Daten für die Ziele der Angreifer zu stehlen. Forscher haben eine vollständige Liste der bösartigen Domänen von Qakbot veröffentlicht im Rahmen der Malware-Analyse, zusammen mit Hashes und Indikatoren für eine Kompromittierung.
Aber die beste Form der Verteidigung gegen Qakbot ist verhindern, dass es überhaupt auf der Maschine bereitgestellt wird, denn selbst wenn die Schadsoftware entfernt wird, es kann immer noch zu anhaltenden Problemen führen.
MEHR ÜBER CYBERKRIMINALITÄT
- Diese Banking-Malware ist gerade mit neuen hinterhältigen Tricks zurückgekehrt, um Ihre Daten zu stehlen
- 5 Möglichkeiten, die größten Malware-Bedrohungen zu vermeiden TechRepublic
- Trojaner-Malware ist zurück und stellt die größte Hacker-Bedrohung für Ihr Unternehmen dar
- Kreditkartendiebe werden immer schlauer. Du kannst auch CNET
- Dieser alte Trojaner lernt in seiner neuesten Kampagne zum Diebstahl von Bankinformationen und Passwörtern neue Tricks