Schadsoftware ist der Horror vieler Online-Banking-Nutzer. Kriminelle spähen damit Passwörter und andere Informationen aus, um an das Geld ihrer Opfer zu gelangen. Der Banking-Trojaner Qakbot übernimmt nun die Rolle seines berüchtigten Vorgängers Emotet.
Die wirtschaftlichen Schäden durch Malware steigen jährlich an, weil sich deren Funktionen stetig verbessern und Schutzvorrichtungen zu umgehen versuchen.
Der Cyber-Schädling Qakbot tritt als Banking-Trojaner in die Fußstapfen von Emotet. Dessen digitales Ökosystem wurde zwar zu Jahresbeginn zerschlagen und das Botnetz abgeschaltet. Dennoch bleibt das Vorgehen der Cyber-Diebe gleich: Die Verbreitung erfolgt über E-Mails, ist mit anderer Malware gekoppelt oder läd diese herunter. Wie der IT-Sicherheitsdienstleister Kaspersky aktuell berichtet, hat die Zahl der Angriffe mit Qakbot seit Jahresbeginn mit 65 Prozent kräftig zugelegt. Insgesamt seien weltweit mehr als 17.300 Nutzer angegriffen worden.
Zwar zielte die Schadsoftware in den vergangenen anderthalb Jahren in erster Linie auf das Gesundheitswesen in den USA. Dennoch sind auch andere Staaten und Branchen betroffen. Mittels Qakbot greifen die Kriminellen auf die Online-Banking-Konten oder E-Wallets der Opfer zu. Außerdem nutzen die Hacker Qakbot als Türöffner für andere Schadsoftware, wie etwa den Erpressungstrojaner Conti.
Qakbot täuscht mit vertrauenswürdigen E-Mails
Ihr Unwesen treibt diese Schadsoftware bereits seit 2007. Jedoch haben die Qakbot-Hintermänner in den vergangenen Jahren laut Kaspersky viel in die Entwicklung investiert und diesen Trojaner "zu einem der leistungsfähigsten und gefährlichsten unter den existierenden Exemplaren dieses Malware-Typs gemacht". Die versendeten Mails stammen von bekannten Absendern, wirken besonders vertrauenswürdig und zitieren mitunter auch eigene E-Mails des Empfängers. Ziel von Qakbot ist es, dass der Adressat die angehängte Office-Datei öffnet und auf "Inhalt aktivieren" klickt. Zudem durchsucht die Schadsoftware mit einem speziellen E-Mail-Collector-Modul die Rechner der Angegriffenen nach Microsoft Outlook, um dort E-Mails abzugreifen und die Kontaktliste des Opfers zu nutzen.
Zusätzlich zu den für Banking-Trojaner üblichen Funktionen wie Keylogging, Cookie-Diebstahl, Abfangen von Passwörtern und Logins hat Qakbot laut Kaspersky in den neuesten Versionen auch Funktionen und Techniken integriert, mit denen er erkennen kann, ob er in einer virtuellen Umgebung ausgeführt wird. Letzteres werde häufig von Sicherheitslösungen und Anti-Malware-Spezialisten verwendet, um Schadprogramme anhand ihres Verhaltens zu identifizieren. Erkennt der Cyber-Schädling, dass er sich in einer virtuellen Umgebung befindet, kann er zum eigenen Schutz verdächtige Aktivitäten stoppen oder ihre Funktion komplett einstellen.
Neue Funktionen machen Tojaner gefährlicher
"Es ist unwahrscheinlich, dass Qakbot seine Aktivitäten in nächster Zeit einstellen wird. Diese Malware wird ständig aktualisiert und die Bedrohungsakteure, die dahinterstehen, fügen immer wieder neue Funktionen hinzu und aktualisieren ihre Module, um die Auswirkungen auf den Umsatz zu maximieren und gleichzeitig Details und Informationen zu stehlen", betont Haim Zigel, Malware-Analyst bei Kaspersky. Nach der Zerschlagung des Emotet-Ökosystems, über die Qakbot ursprünglich verbreitet wurde, hätten die Kriminellen nun einen neuen Weg gefunden, diese Schadsoftware zu verbreiten.
Das Marktforschungsunternehmen Cybersecurity Ventures schätzt, dass die von Malware verursachten Kosten jährlich um rund 15 Prozent klettern werden und im Jahr 2025 weltweit bei rund 10,5 Billionen US-Dollar pro Jahr liegen. Diese Summe stelle "den größten Transfer wirtschaftlichen Reichtums in der Geschichte dar", so das Unternehmen. Zudem gefährde es Anreize für Innovation und Investition. Dadurch entstehe ein größerer Schaden, als durch Naturkatastrophen weltweit in einem Jahr verursacht wird. Zudem werde der Cybercrime-Markt damit mittelfristig profitabler als der weltweite Handel mit illegalen Drogen.