Ransomware: Qakbot treedt in de voetsporen van Emotet


Emotet had phishing naar een nieuw niveau getild met zijn dynamische phishing-e-mails. Deze e-mails waren afkomstig van bekende afzenders en citeerden zelfs de eigen e-mails van de ontvanger om hem ertoe te brengen het bijgevoegde Office-document te openen. Nadat de Emotet-infrastructuur was vernield, neemt Qakbot nu blijkbaar zijn trucjes over en vult daarmee ook een gat in het cybercrime-ecosysteem.

Net als Emotet is Qakbot oorspronkelijk gespecialiseerd in fraude met internetbankieren en is het in de loop van de tijd geëvolueerd. De malware, ook wel bekend als QBot, heeft vooral zijn vermogen om wachtwoorden en andere informatie te stelen uitgebreid. Qakbot kwam onder meer via Emotet op de computers van zijn slachtoffers. Zoals een huidige analyse van Kaspersky aantoont, voert de Qakbot-bende nu steeds vaker haar eigen phishing-e-mailcampagnes en gebruikt ze ook kwaadaardige Office-bestanden die macro’s bevatten om de computer van de ontvanger te infecteren. Deze zijn vaak verpakt in ZIP-archieven.

Om de infectie te starten, moet de ontvanger het Office-bestand openen en vervolgens op “Activeer inhoud” klikken. Daartoe creëert Emotet een betrouwbare context met e-mails die eerder zijn gestolen van andere slachtoffers. Zoals Kaspersky laat zien, doorzoekt een speciale e-mailcollectormodule bij Qakbot nu de computers van zijn slachtoffers naar Microsoft Outlook om toegang te krijgen tot hun e-mails.

Het Excel-bestand is zogenaamd beveiligd met DocuSign. De gevraagde “Activeer inhoud” infecteert de pc met Qakbot.

(Afbeelding: Northwave-beveiliging)

Hieruit maken de criminelen later e-mails met extra Office Trojaanse paarden die speciaal zijn afgestemd op de respectieve ontvanger. Overigens doen ze ook graag alsof ze “DocuSign protected” zijn. De functie “Inhoud activeren” wordt verondersteld te worden gebruikt om de vermeend beveiligde inhoud te decoderen.

En natuurlijk fungeert Qakbot ook als deuropener voor ransomware. Vroeger was het vaak egregore. Maar de bende heeft ook goede relaties met de Trickbot-bende, die een van de meest succesvolle chantage-trojans van dit moment in haar programma heeft, Conti. Op deze manier kon Qakbot er samen met de gelijkaardige opgezette IcedID voor zorgen dat het vernielen van de Emotet-infrastructuur niet leidde tot een merkbare afname van de dreiging van ransomware.

De maatregelen ter bescherming tegen kwaadaardige Office-bestanden die in de loop van Emotet-preventie zijn besproken, zijn daarom geenszins achterhaald. Degenen die dat kunnen, moeten nog steeds de ontvangst van e-mail blokkeren en Office-bestanden downloaden met macro’s, of ze op zijn minst verstandig regelen.

Bovendien heeft Kaspersky in QakBot technische analyse publiceerde een uitgebreide lijst met IP-adressen van bekende Qakbot C2-servers die kunnen dienen als indicatoren van compromis. Het gericht monitoren van verdachte activiteiten is een belangrijk onderdeel van een ransomwarebeschermingsconcept. Iedereen die al vroeg merkt dat computers in hun netwerk “praten” met bekende controleservers van de cybercriminaliteitsbendes, kan vaak het ergste voorkomen.


(ju)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: