Qakbot-Malware
Sophos X-Ops entdeckt und analysiert neue Variante der Qakbot-Malware
Sophos X-Ops hat kürzlich eine neue Variante der Qakbot-Malware identifiziert und umfassend analysiert. Erstmals trat diese Variante im Mittel Dezember auf und verdeutlicht somit, dass sich die Qakbot-Malware trotz der erfolgreichen Zerschlagung ihrer Botnet-Infrastruktur durch die Strafverfolgungsbehörden im vergangenen August weiterentwickelt hat. Die Angreifer haben dabei verbesserte Methoden implementiert, um ihre Spuren zu verwischen.
Die von Sophos X-Ops untersuchten Fälle zeigen, dass die Cyberkriminellen gezielt die Verschlüsselung der Malware verstärkt haben. Dadurch gestaltet sich für Verteidiger die Analyse des schädlichen Codes schwieriger. Zudem verschlüsseln die Angreifer nun sämtliche Kommunikation zwischen der Malware und dem Kontrollserver mit einer stärkeren Methode im Vergleich zu früheren Versionen. Außerdem hat die Malware eine zuvor entfernte Funktion wieder eingeführt, die ihre Ausführung in einer virtuellen Umgebung oder Sandbox verhindert.
Andrew Brandt, Principal Researcher von Sophos X-Ops , kommentiert die jüngsten Qakbot-Vorfälle: „Die Zerschlagung der Qakbot-Botnet-Infrastruktur war ein Erfolg, jedoch bleiben die Schöpfer des Bots weiterhin aktiv.“ Cyberkriminelle, die Zugang zum ursprünglichen Qakbot-Quellcode haben, experimentieren mit neuen Varianten und testen diese im realen Einsatz.
Eine der auffälligsten Änderungen betrifft den Verschlüsselungsalgorithmus, den der Bot verwendet, um fest einkodierte Standardkonfigurationen zu verbergen. Dies erschwert Analysten die Erkennung der Malware-Funktionsweise erheblich. Die Angreifer reaktivieren zudem veraltete Funktionen wie die Erkennung virtueller Maschinen (VM) und testen sie in diesen neuen Versionen.
Es ist äußerst wahrscheinlich, dass die Entwicklung von Qakbot fortgesetzt wird, bis seine Schöpfer strafrechtlich verfolgt werden. Die positive Nachricht ist, dass diese neuen Qakbot-Varianten leicht durch zuvor erstellte Signaturen von Endpoint-Detection-Software identifiziert werden können.