Der QBot-Banking-Trojaner, der auch als Qakbot oder Pinkslipbot bekannt ist, ist seit 2008 den Cybersicherheitsforschern bekannt und täuscht weiterhin die Geschäftsleute mit neuen Kampagnen, die seine elaborierten Stealth-Fähigkeiten demonstrieren.
Eine weitere Phishing-Kampagne, die das bösartige Dokument verbreitet, hat die Aufmerksamkeit der Forscher auf sich gezogen. Der neueste QakBot-Angriff ist bemerkenswert, da er eine ZIP-Datei mit einem Dokument liefert, aber kein Microsoft Word-Dokument-Anhang. Das gezippte Dokument enthält ein Makro, das ein PowerShell-Skript ausführt, das wiederum die QakBot-Nutzlast von der vordefinierten URL herunterlädt.
Wir haben unsere Leser bereits in dem Beitrag der Woche über den listigen QakBot-Trojaner gewarnt. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/
Heute möchten wir Sie darüber informieren, dass die Angreifer zwei Techniken zu ihrem Arsenal hinzugefügt haben – die Umgehung der CDR-Technologie (Content Disarm and Reconstruction) sowie die Umgehung der Erkennung des Kind-Eltern-Musters.
Osman Demir, aktives Mitglied des Threat Bounty Developer Programms hat eine Sigma-Regel veröffentlicht, um den modernisierten QakBot Trojaner zu erkennen:
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Ausführung
Techniken: Befehlszeilenschnittstelle (T1059), PowerShell (T1059), Benutzer-Ausführung (T1204)
Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder am Threat Bounty Program teilnehmen um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.
