|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

QRat: Mächtige Malware, dilettantische Verbreitung

13. Januar 2021

Der Quaverse Remote-Access-Trojaner (QRat) tauchte erstmals im Jahr 2015 auf und treibt seither sein Unwesen. Ein wesentlicher Faktor für seinen Erfolg ist die Tatsache, dass QRat äußerst geschickt darin ist, sich zu tarnen und seinen Hintermännern darüber hinaus umfangreichen Fernzugriff auf die Systeme ihrer Opfer gewährt. Seine Funktionen umfassen das Stehlen von Passwörtern, Keylogging, das Durchsuchen von Dateien und Erstellen von Screenshots. Damit ermöglicht er Hackern, vertrauliche Informationen en Masse abzugreifen.

Jetzt haben Cybersicherheitsforscher von Trustwave eine neue QRat-Kampagne identifiziert, die Opfer zum Herunterladen der neuesten Version der Malware verleiten soll. Diese bezeichnen die Forscher als "erheblich verbessert". Allerdings scheinen die Hintermänner dieser Kampagne eher Software- als Phishing-Experten zu sein, denn inhaltlich sind die E-Mails eher unkonventionell, um es vorsichtig auszudrücken. In der E-Mail wird nämlich ein Kredit mit einer "guten Kapitalrendite" angeboten. Damit soll die Aufmerksamkeit der potenziellen Opfer geweckt werden. Der Anhang der Mail, der dann die Malware enthält, bezieht sich jedoch überhaupt nicht auf den Betreff der Phishing-E-Mail, sondern gibt sich als Video von US-Präsident Donald Trump aus.

Vermutlich haben sich die Angreifer für diesen Anhang aufgrund der aktuellen Nachrichtenlage entschieden und wollen die menschliche Neugier ausnutzen. Der Versuch, die Java-Archive-Datei (JAR) zu öffnen, führt dazu, dass ein Installationsprogramm für QRat-Malware ausgeführt wird. Die Malware verwendet mehrere Verschleierungsebenen, um nicht als böswilliger Eindringling erkannt zu werden. Außerdem wurden in der aktuellen Version neue Funktionen hinzugefügt, um sie noch besser zu verstecken. Vor diesem Hintergrund besonders obskur: Im Installationsprozess gibt es sogar eine Pop-up-Meldung, die den Nutzer davor warnt, dass die von ihm installierte Software für Fernzugriffe und Penetrationstests verwendet werden kann. Wenn der Benutzer dies akzeptiert, wird QRat auf das System heruntergeladen und die Malware durch modulare Downloads abgerufen, um eine Entdeckung zu vermeiden. Daran mag es auch liegen, dass die Kampagne bislang eher mäßig erfolgreich lief. Doch scheinbar gibt es tatsächlich Menschen, die der Installation zustimmen.

Der Schutz vor QRat ist somit eigentlich nicht weiter schwierig: Klicken Sie nicht auf OK, wenn eine unbekannte Software nach der Berechtigung für Fernzugriff fragt. Allerdings ist davon auszugehen, dass die Phishing-Kampagne früher oder später subtiler gestaltet wird. Für diesen Fall ist es sinnvoll vorzusorgen und eingehende JAR-Dateien im E-Mail-Sicherheitsgateway zu blockieren.

Bild (c) kaptn / Adobe Stock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
8com easySOC
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
SAP Security
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Jobs
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001-Zertifikat auf basis vom IT-Grundschutz. BSI-IGZ-0505-2022
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen
Logo Bündnis für DemokratieLogo Bündnis für DemokratieLogo Bündnis für Demokratie