Seit ein paar Tagen sind vermehrt Excel-basierte Maldocs im Umlauf, welche es unbemerkt durch mehrere Schutzvorkehrungen schaffen und von End Usern geöffnet werden. Es handelt sich hierbei einmal mehr um einen Social Engineering-Angriff, bei dem der Benutzer via E-Mail überzeugt wird, ein angehängtes Excel File zu öffnen und das darin enthaltene Makro zu aktivieren. Dabei wird die Schadsoftware QBot (alias QakBot / QuakBot) heruntergeladen und das System mit einem Cobalt Strike Beacon infiziert, welcher dem Angreifer interaktiven Zugang zum System und zum Netzwerk ermöglicht, um weitere Aktionen wie zusätzliches Recon., Lateral Movements oder Privilege Escalations durchzuführen.
Der Inhalt der Nachricht ist gewöhnlich relativ schlicht in Englisch oder Deutsch gehalten und unabhängig von der eventuell imitierten, gestohlenen Konversation. In seltenen Fällen wurde die Nachricht in Französisch verfasst.
- Guten Tag. Bitte den Anhang überprüfen und bestätigen (Good day. Please review and verify the attached docs).
- Hallo, hier im Anhang ist eine interessante Information (Hello, Here is an interesting info in the document attached).
- Salut! Votre documentation compète, ainsi que la facture et l’accord, sont joints à cet e-mail.
Bei Fragen, benötigter Hilfestellung oder für weitere Infos dürfen Sie Sich jederzeit an unser Cyber Defence Center wenden.