Die Betreiber hinter der Qakbot-Malware verändern ihre Verbreitungswege, um der Entdeckung zu entgehen.
„In jüngster Zeit haben die Bedrohungsakteure ihre Techniken verändert, um der Erkennung zu entgehen, indem sie ZIP-Dateierweiterungen, verlockende Dateinamen mit gängigen Formaten und Excel (XLM) 4.0 verwenden, um die Opfer dazu zu bringen, bösartige Anhänge herunterzuladen, die Qakbot installieren“, so die Forscher Tarun Dewan und Aditya Sharma von Zscaler Threatlabz.
Zu den weiteren Methoden der Gruppe gehören die Verschleierung von Code, die Einführung neuer Ebenen in der Angriffskette von der anfänglichen Kompromittierung bis zur Ausführung und die Verwendung mehrerer URLs sowie unbekannter Dateierweiterungen (z. B. .OCX, .ooccxx, .dat oder .gyp), um die Nutzlast zu übermitteln.
Qakbot, auch QBot, QuackBot oder Pinkslipbot genannt, ist seit Ende 2007 eine immer wiederkehrende Bedrohung und hat sich von einem Banking-Trojaner zu einem modularen Informationsdieb entwickelt, der in der Lage ist, weitere Nutzdaten wie Ransomware zu übertragen.
„Qakbot ist ein flexibles Post-Exploitation-Tool, das verschiedene Verteidigungsschichten und Umgehungstechniken einsetzt, um Entdeckungen zu minimieren“, erklärte Fortinet im Dezember 2021.
„Qakbots modularer Aufbau und seine berüchtigte Widerstandsfähigkeit gegenüber traditioneller signaturbasierter Erkennung machen es für viele finanziell motivierte Gruppen (Cyberkriminelle) zu einer begehrten ersten Wahl.“
Die Umstellung der Malware von XLM-Makros Anfang 2022 auf .LNK-Dateien im Mai wird als Versuch gewertet, Microsofts Plänen entgegenzuwirken, Office-Makros ab April 2022 standardmäßig zu blockieren, eine Entscheidung, die inzwischen vorübergehend zurückgenommen wurde.
Zu den weiteren Modifikationen gehören die Verwendung von PowerShell zum Herunterladen der DLL-Malware und die Umstellung von regsvr32.exe auf rundlll32.exe zum Laden der Nutzlast, was die Forscher als „klares Anzeichen dafür, dass Qakbot sich weiterentwickelt, um aktualisierte Sicherheitspraktiken und Verteidigungsmaßnahmen zu umgehen“ bezeichnen.