Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Qakbot-Kampagne mit WordPad

- Warnmeldung

Qakbot tritt in zahlreichen Varianten auf. In einer neuen Kampagne nutzt die Malware einen Fehler in Windows WordPad.
Mann arbeitet angestrengt an Laptop

© CSBW

Neue Vorgehensweise mit WordPad

Sicherheitsforscher haben beobachtet, dass Qakbot einen DLL-Hijacking-Fehler in WordPad von Windows 10 und 11 ausnutzt. Dabei wird WordPad dazu verwendet, die Erkennung durch Sicherheitssoftware zu umgehen.

Wenn eine Anwendung gestartet wird, lädt sie alle erforderlichen DLL-Dateien. Dazu durchsucht sie bestimmte Windows-Ordner nach der Datei und lädt sie. Windows-Anwendungen bevorzugen jedoch DLL-Dateien, die sich im gleichen Ordner wie die ausführbare Datei befinden. Diese laden sie vor allen anderen gefundenen DLL-Dateien.

Beim DLL-Hijacking erstellt ein Bedrohungsakteur eine bösartige DLL-Datei mit demselben Namen wie eine legitime DLL-Datei und legt sie im Suchpfad ab, normalerweise im selben Ordner wie die ausführbare Datei. Wenn diese ausführbare Datei gestartet wird, lädt sie die Malware-DLL anstelle der legitimen und führt alle darin enthaltenen bösartigen Befehle aus.

Für diese Vorgehensweise ist die Datei curl.exe erforderlich. Da diese nur in Systemen mit Windows 10 und 11 vorhanden ist, sind auch nur diese Systeme betroffen.

Bewertung der CSBW

Diese Qakbot-Variante läuft unbemerkt im Hintergrund, stiehlt E-Mails zur Verwendung in weiteren Phishing-Angriffen und lädt schließlich andere Payloads herunter, wie etwa Cobalt Strike. Das betroffene Gerät dient als Ausgangspunkt, um sich seitlich im Netzwerk auszubreiten. Die Folge sind häufig Unternehmensdatendiebstahl und Ransomware-Angriffe.

Empfehlungen der CSBW

Bisher sind noch keine konkreten Maßnahmen oder Workarounds bekannt. Daher gelten die allgemeinen Handlungsempfehlungen im Umgang mit Phishing-Angriffen.

Ausführliche Informationen

Allgemeines zu Qakbot

Qakbot ist eine modular aufgebaute Schadsoftware, die für unterschiedliche Zwecke einsetzbar ist. Angreifer verbreiten Qakbot per E-Mail, um sich so einen ersten Zugang zum Netzwerk einer Organisation zu  erschaffen. Wenn dies gelungen ist, wird im Anschluss weitere Malware installiert (z. B. Ransomware).

Qakbot ist seit 2007 bekannt und hat sich seitdem ständig weiterentwickelt. Diese ständige  Weiterentwicklung macht Qakbot so gefährlich, weil Gegenmaßnahmen immer wieder angepasst werden müssen.

Alternative Namen von Qakbot

Qakbot ist auch unter folgenden Namen bzw. Schreibweisen bekannt:

  • QuakBot
  • QBot
  • QuackBot
  • PinkslipBot

  • Die Cybersicherheitsagentur Baden-Württemberg (CSBW) ist die neueste Landesoberbehörde im Land. Grundlage für ihre Gründung ist das Cybersicherheitsgesetz. Seit 2021 begegnet das stetig wachsende und breit aufgestellte Team der CSBW den immer größer werdenden Gefahren von Cyberangriffen im digitalen Raum. Sie steht im ständigen Austausch mit allen relevanten Sicherheitsbehörden und Akteuren. Zentrale Aufgabe der CSBW ist es, die Cybersicherheit in Baden-Württemberg zu verbessern. Im Fokus steht dabei vor allem die Landesverwaltung. Die wichtigsten Schlagworte dabei sind: Prävention, Detektion und Reaktion.