Nach Zerschlagung: Quakbot weiter gefährlich
Eine neue Version der Qakbot-Malware wurde entdeckt und analysiert, die erstmals Mitte Dezember auftrat. Trotz der Zerschlagung der Botnet-Infrastruktur im August durch die Strafverfolgungsbehörden hat sich die Qakbot-Malware weiterentwickelt. Die Angreifer verwenden nun noch effektivere Methoden, um ihre Spuren zu verwischen.
Die jüngsten Fälle, die von Sophos X-Ops analysiert wurden, zeigen, dass Cyberkriminelle verstärkte Verschlüsselungstechniken in ihrer Malware verwenden. Dies erschwert es Verteidigern, den schädlichen Code zu untersuchen. Zusätzlich verschlüsseln die Angreifer nun die gesamte Kommunikation zwischen der Malware und dem Kontrollserver mit einer stärkeren Methode als zuvor. Die Malware hat auch eine Funktion wieder eingeführt, die verhindert, dass sie in einer virtuellen Umgebung oder Sandbox erkannt wird.
Andrew Brandt, Hauptforscher von Sophos X-Ops, betont, dass die Zerschlagung der Qakbot-Botnetzinfrastruktur zwar ein Erfolg war, aber die Entwickler des Bots weiterhin aktiv sind. Sie experimentieren mit neuen Varianten und testen sie im echten Einsatz.
Eine bedeutende Veränderung betrifft den Verschlüsselungsalgorithmus, der verwendet wird, um Standardkonfigurationen zu verbergen, was die Malware-Analyse erschwert. Die Angreifer stellen auch zuvor entfernte Funktionen wie die Erkennung virtueller Maschinen wieder her und testen sie in den neuen Versionen.
Es ist wahrscheinlich, dass die Entwicklung von Qakbot weitergeht, bis die Entwickler strafrechtlich belangt werden. Glücklicherweise können diese neuen Varianten von Qakbot leicht durch zuvor erstellte Signaturen von Endpunkt-Erkennungssoftware erkannt werden.