Aufgepasst: E-Mail mit Infos zu US-Wahlbetrug enthält den Qbot-Trojaner
Kriminelle nutzen das Umfeld der US-Präsidentschaftswahlen, um die Schadsoftware Qbot zu verbreiten. Dabei gehen sie recht offen vor, was wohl gerade die Glaubwürdigkeit des an sich ungewöhnlichen Vorgangs zu untermauern scheint.
So funktioniert der neue Qbot-Angriff
Potenzielle Opfer erhalten eine E-Mail, die verspricht, sensible Informationen zu einem angeblichen Wahlbetrug in den USA zu enthalten. Ein angehängtes Dokument soll Unstimmigkeiten bei der Stimmenauszählung zeigen. Dabei handelt es sich um ein Zip-Archiv, das wiederum eine Excel-Tabelle enthält, die sich als verschlüsseltes Docusign-Dokument ausgibt. Anweisungen zur Entschlüsselung liefern die Kriminellen gleich mit.
Wie die Schadsoftware-Bekämpfer von Malwarebytes berichten, sind die E-Mails so aufgebaut, dass sie wie eine Antwort innerhalb einer Konversation wirken und auf diese Weise eine gewisse Grundglaubwürdigkeit vermitteln könnten. Im Anhang finden Betroffene eine Zip-Datei mit dem Namen „Election Interference“ (Deutsch: Wahlbeeinflussung).
Wird diese Excel-Datei geöffnet, gibt sie sich wiederum als Docusign-Dokument aus, das zunächst entschlüsselt werden müsse. Das ist eine einigermaßen geschickte Vorgehensweise, um die Adressaten dazu zu bewegen, der Excel-Tabelle zu erlauben, Makros zu aktivieren. Diese Funktion ist nämlich bei Dateien von unsicheren Speicherorten im Standard abgeschaltet.
Wer nun die Bearbeitung aktiviert, erlaubt die Ausführung von Makros in der Excel-Tabelle. Darüber lädt die Tabelle sodann die eigentliche Schadsoftware aus dem Netz nach und startet sie.
Wahltrojaner stiehlt vertrauliche Daten
Einmal gestartet, wird der QBot-Trojaner über einen externen Befehlsserver gesteuert. Hier ist der Fantasie der Kriminellen im Wesentlichen keine Grenze gesetzt. Sicherheitsexperten sehen in Qbot das Schweizer Armeemesser der Schadsoftware-Branche.
Im vorliegenden Fall scheint es dem Qbot vor allem um das Entwenden vertraulicher Informationen sowie den Diebstahl des E-Mail-Bestandes seiner Opfer zu gehen. Letzteres könnte genutzt werden, um einerseits weitere potenzielle Opfer zu identifizieren und andererseits neuen Schadsoftwarekampagnen durch das Aufsetzen auf echtem E-Mail-Schriftverkehr eine höhere Kredibilität zu verleihen.
Vorgehensweise nicht neu, nur kreativer
Für Malwarebytes ist die Vorgehensweise der aktuellen Kampagne nicht neu – es handele sich vielmehr um typische Social-Engineering-Methoden, so die Experten. Letztlich infizieren sich die Betroffenen ihre Rechner stets selbst, weil die Kriminellen es schaffen, sie unter diversen Vorwänden dazu zu bringen, Aktionen auszuführen, die sie nicht ausführen sollten.
Ganz klassisch ist das Vortäuschen von Zustellbenachrichtigungen der diversen Logistiker, das Zusenden von Mahnungen für angeblich vergessene Rechnungen oder auch das angebliche Erfordernis, sein Bankpasswort ändern zu müssen. Allen diesen Methoden ist gemein, dass sie nur dann zum Erfolg führen, wenn der Empfänger der Nachricht falsch reagiert.
Nachdem immer mehr Netznutzer über grundlegende Kenntnisse im Umgang mit Malware-Angriffen verfügen, greifen Cyberkriminelle verstärkt auf tagesaktuelle Themen hoher Aufmerksamkeit zurück, so Malwarebytes. In diesem Jahr seien das Themen rund um die Corona-Pandemie und natürlich der US-Präsidentschaftswahlkampf.
Dabei ist Qbot selbst nicht neu. Die Schadsoftware wird schon seit 2008 immer wieder angetroffen. Sie war als Banking-Trojaner gestartet, kann aber mittlerweile weitaus universeller eingesetzt werden.
Ein weiterer Baustein, der immer mehr Menschen dazu bewegt, möglichst nicht mehr E-Mails zu verwenden.
Es mehren sich immer mehr Menschen, die dem Thema Internet und digitale Kommunikation ablehnend gegenüber stehen, weil die sich inzwischen fürchten, von einem dieser dubiosen Akteure belogen, bestohlen, oder in sonst irgend einer Form negativ belastet zu werden.
Dass Spam-Mails schon seit langem die Leute nerven, ist sowieso klar. Aber dass in zunehmender Zahl jede Menge gefährliche Botschaften, egal ob über diverse Sozial-Media-Kontakte oder aber auch toxische Webseiten die Nutzer zutiefst verunsichern, wirkt sich schön langsam aber sicher bei vielen Nutzergruppen in einer Verweigerung aus.
Auch dieser endlos Unfug, der neuerdings durch das Netz mit diesen DSGVO-Masken wabert, wirkt sich kontraproduktiv aus, weil es letztendlich Unsicherheit verbreitet, was man jetzt eigentlich noch trauen kann.
Die beteiligten Akteure haben sich in ihrer Featuritis dermaßen verstiegen, dass sich hier ein massiver Misstrauensvorschuss aufgebaut hat. Und es ist der Internetwirtschaft nicht gelungen, die unseriösen Teilnehmer wirksam von allen Internetaktivitäten auszuschließen. Das wird sich in absehbarer Zeit bitter rächen.