Die Sicherheitsforscher von Zscaler beobachten aktuell eine Kampagne zur Verbreitung von QakBot, einem Infostealer, der über Spam-E-Mails zugestellt und mit einem bösartigen Microsoft Office-Anhang gebündelt wird. Diese infizierten Office-Dokumente werden für die Zustellung der Payload verwendet und häufig für gezielte Angriffe auf Unternehmen eingesetzt.
Ist eine Infektion eines Rechners erfolgt, so werden von QakBot Informationen, wie IP Adresse, Hostname, Username, OS-Version und Bankkontodaten ausgelesen. QakBot verwendet verschiedene Techniken, um der Erkennung zu entgehen und seine Analyse zu erschweren.
Bei der Überprüfung eines Malware-Samples stellten die Sicherheitsforscher zwar fest, dass deren Zeitstempel aus dem Jahr 2010 stammte. Allerdings wurden sie durch kürzlich neu registrierte Domains auf die wiederauflebende Aktivität der Kampagne aufmerksam.
Das ThreatLabZ-Team hat Tausende von bösartigen Dokumenten aus verschiedenen Kampagnen analysiert und dabei ein verschleiertes Makro zur Verbreitung von QakBot genauer unter die Lupe genommen, um den Infektionszyklus transparent zu machen. Bei der Detonation in der Zscaler Cloud Sandbox wurde der Infektionsweg nachvollzogen.
Das passwortgeschütze Makro löst verschiedene, mehrstufige Aktionen aus, wie das Kopieren von hard-coded, verschleierten Daten aus dem User-Formular, die nach der Entschlüsselung Daten in verschiedene Eigenschaftsabschnitte ablegte. Erst von dort aus wurde PowerShell für den Download der eigentlichen Payload vom Command & Control-Server gestartet.
Wird das Makro vom Anwender aktiviert, erzeugt es ein gefälschtes Popup-Fenster, um dem User glauben zu machen, dass sein System eine Funktion ausführt. Allerdings laufen im Hintergrund dann die schädlichen Aktivitäten des Makros ab. Diese Vorgehensweise ähnelt den Kampagnen von TA505 APT und Emotet.
Bevor der Hauptcode ausgeführt wird, überprüft die Malware das System auf vorhandene Antiviren-Software. Ebenso wird das System auf virtuelle Umgebungen und andere Monitoring-Tools gecheckt, indem die laufenden Prozesse auf dem Computer des Opfers überprüft werden.
Außerdem kopiert sich die Malware in ein Verzeichnis und wird dort aktiv. Sie führt einen Befehl aus, um sich selbst anzupingen und die ursprüngliche Binärdatei durch eine Kopie der legitimen Windows Calculator-Anwendung zu ersetzen.
QakBot sorgt für Persistenz auf dem befallenen System, indem es einen RUN-Schlüssel am Ort des automatischen Starts erstellt wodurch die Malware bei jeder Anmeldung ausführt wird.
Darüber hinaus wird unter anderem eine geplante Aufgabe der täglichen Ausführung der Payload zu einer definierten Zeit festgelegt und diese Aufgabe nach dem Aktivieren gelöscht. Die QakBot Malware ist nicht neu, wird aber nach wie vor weiterentwickelt,.