Sie haben Fragen?

info@8com.de
+49 6321 48446-0

QRat: Mächtige Malware, dilettantische Verbreitung

13. Januar 2021

Der Quaverse Remote-Access-Trojaner (QRat) tauchte erstmals im Jahr 2015 auf und treibt seither sein Unwesen. Ein wesentlicher Faktor für seinen Erfolg ist die Tatsache, dass QRat äußerst geschickt darin ist, sich zu tarnen und seinen Hintermännern darüber hinaus umfangreichen Fernzugriff auf die Systeme ihrer Opfer gewährt. Seine Funktionen umfassen das Stehlen von Passwörtern, Keylogging, das Durchsuchen von Dateien und Erstellen von Screenshots. Damit ermöglicht er Hackern, vertrauliche Informationen en Masse abzugreifen.

Jetzt haben Cybersicherheitsforscher von Trustwave eine neue QRat-Kampagne identifiziert, die Opfer zum Herunterladen der neuesten Version der Malware verleiten soll. Diese bezeichnen die Forscher als "erheblich verbessert". Allerdings scheinen die Hintermänner dieser Kampagne eher Software- als Phishing-Experten zu sein, denn inhaltlich sind die E-Mails eher unkonventionell, um es vorsichtig auszudrücken. In der E-Mail wird nämlich ein Kredit mit einer "guten Kapitalrendite" angeboten. Damit soll die Aufmerksamkeit der potenziellen Opfer geweckt werden. Der Anhang der Mail, der dann die Malware enthält, bezieht sich jedoch überhaupt nicht auf den Betreff der Phishing-E-Mail, sondern gibt sich als Video von US-Präsident Donald Trump aus.

Vermutlich haben sich die Angreifer für diesen Anhang aufgrund der aktuellen Nachrichtenlage entschieden und wollen die menschliche Neugier ausnutzen. Der Versuch, die Java-Archive-Datei (JAR) zu öffnen, führt dazu, dass ein Installationsprogramm für QRat-Malware ausgeführt wird. Die Malware verwendet mehrere Verschleierungsebenen, um nicht als böswilliger Eindringling erkannt zu werden. Außerdem wurden in der aktuellen Version neue Funktionen hinzugefügt, um sie noch besser zu verstecken. Vor diesem Hintergrund besonders obskur: Im Installationsprozess gibt es sogar eine Pop-up-Meldung, die den Nutzer davor warnt, dass die von ihm installierte Software für Fernzugriffe und Penetrationstests verwendet werden kann. Wenn der Benutzer dies akzeptiert, wird QRat auf das System heruntergeladen und die Malware durch modulare Downloads abgerufen, um eine Entdeckung zu vermeiden. Daran mag es auch liegen, dass die Kampagne bislang eher mäßig erfolgreich lief. Doch scheinbar gibt es tatsächlich Menschen, die der Installation zustimmen.

Der Schutz vor QRat ist somit eigentlich nicht weiter schwierig: Klicken Sie nicht auf OK, wenn eine unbekannte Software nach der Berechtigung für Fernzugriff fragt. Allerdings ist davon auszugehen, dass die Phishing-Kampagne früher oder später subtiler gestaltet wird. Für diesen Fall ist es sinnvoll vorzusorgen und eingehende JAR-Dateien im E-Mail-Sicherheitsgateway zu blockieren.

Bild (c) kaptn / Adobe Stock

Zurück zur Blog-übersicht