Neue Qakbot-Kampagne mit PDF-Dateien [24.04.23]
Allgemeines zu Qakbot
Qakbot ist eine modular aufgebaute Schadsoftware, die für unterschiedliche Zwecke einsetzbar ist. Angreifer verbreiten Qakbot per E-Mail, um sich so einen ersten Zugang zum Netzwerk einer Organisation zu verschaffen. Wenn dies gelungen ist, wird im Anschluss weitere Malware installiert (z. B. Ransomware). Qakbot ist seit 2007 bekannt und hat sich seitdem ständig weiterentwickelt. Diese ständige Weiterentwicklung macht Qakbot so gefährlich, weil Gegenmaßnahmen immer wieder angepasst werden müssen.
Neue Vorgehensweise mit PDF-Dateien als Mail-Anhang
In diesem April wurden Sicherheitsforscher auf eine neue Qakbot-Variante aufmerksam. Dabei werden in Phishing-Kampagnen per E-Mail PDF-Dateien versendet. Wenn der Empfänger den PDF-Anhang öffnen möchte, geht die PDF-Datei jedoch nicht auf. Stattdessen wird eine ZIP-Datei auf das Gerät heruntergeladen. Wenn der Benutzer diese ZIP-Datei öffnet, wird die darin enthaltene WSF-Datei (Windows Script File) unbemerkt ausgeführt und das Gerät wird infiziert. Im weiteren Verlauf wird unbemerkt weitere Malware nachgeladen.
Bitte beachten Sie folgende Maßnahmen
- Seien Sie vorsichtig, wenn Sie eine E-Mail mit PDF-Anhang erhalten, auch wenn der Absender bekannt zu sein scheint. Im Zweifel rufen Sie den Absender unter der Ihnen bekannten Nummer an und lassen Sie sich die Echtheit der Mail und die Unbedenklichkeit des Anhangs telefonisch bestätigen.
- Wenn eine PDF-Datei, die Sie öffnen wollten, nicht geöffnet wird, sondern stattdessen eine ZIP-Datei heruntergeladen wird, informieren Sie bitte die Stabsstelle Informationssicherheit.
Wichtig: Die heruntergeladene ZIP-Datei nicht öffnen.
Bei Fragen wenden Sie sich bitte an die Stabsstelle Informationssicherheit.
Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular