Neue QakBot-Welle: Wie gefährliche PDF-Anhänge Unternehmen infizieren

…für Aufsehen in der Cyber-Security-Welt. Unternehmen stehen erneut im Visier von Phishing-Kampagnen, die diesmal auf besonders perfide Weise durchgeführt werden – über kontextbezogene E-Mails mit schädlichen PDF-Anhängen. Was steckt dahinter? Welche Mechanismen kommen zum Einsatz? Und wie können sich Unternehmen effektiv davor schützen?

QakBot: Ein alter Bekannter mit neuen Tricks

Die Malware QakBot ist bereits seit Jahren aktiv und bekannt für ihre Wandlungsfähigkeit. Während bei früheren Angriffen ISO-Dateien mit LNK-Payloads zum Einsatz kamen, setzt die aktuelle Kampagne auf sogenannte „Conversation Hijacking“-Taktiken.

Das bedeutet: Cyberkriminelle kapern reale E-Mail-Verläufe – etwa aus früheren Hacks – und tarnen sich als legitime Kommunikationspartner. In dieser scheinbar vertrauenswürdigen E-Mail wird das Opfer aufgefordert, eine im Anhang befindliche PDF-Datei zu öffnen – etwa zur Prüfung von angeblichen Projektkosten oder Zahlungsdetails.

So funktioniert die neue Infektionskette

Öffnet das Opfer die manipulierte PDF-Datei unter Windows, geschieht Folgendes:

• Die PDF lädt eine ZIP-Datei nach, die eine .wsf-Datei enthält (Windows Script File)
  
• Diese Datei führt ein PowerShell-Skript aus
  
• Das Skript lädt eine DLL von mehreren Remote-URLs
  
• Die DLL wird im %TEMP%-Verzeichnis ausgeführt und in den Prozess wermgr.exe (Windows Error Reporting Manager) eingeschleust
  
• Anschließend beginnt die Malware mit ihrer Ausbreitung im Netzwerk 

Ziel ist es, weitere Schadsoftware wie Cobalt Strike oder Brute Ratel nachzuladen, um das Netzwerk auszuspähen und letztlich Ransomware zu platzieren.

Warum ist dieser Angriff besonders gefährlich?

• Die E-Mails wirken authentisch, da sie reale Gesprächsverläufe nutzen
  
• Die Angriffe sind auf Unternehmensnetzwerke und deutschsprachige Nutzer abgestimmt
  
• Die verteilte Infektionskette macht klassische Signatur-basierte Erkennung wirkungslos
  
• QakBot agiert lateral, also unbemerkt quer durchs Netzwerk, oft über Wochen
  

Praxisbeispiel: Früherkennung stoppt QakBot-Ausbreitung

Ein mittelständisches Dienstleistungsunternehmen erkannte verdächtige DNS-Anfragen über das Active Cyber Defense Monitoring von Allgeier CyRis. Die Analyse ergab, dass ein infizierter Client mehrfach versuchte, eine DLL über PowerShell nachzuladen. Die betroffenen Systeme wurden unmittelbar isoliert – bevor sich der Angriff ausbreiten konnte.

Unsere Lösung: Active Cyber Defense – Erkennung, bevor Schaden entsteht

Allgeier CyRis bietet mit dem Active Cyber Defense Service (ACD) eine 24/7-Angriffsfrüherkennung auf Basis modernster Detection-Technologien. ACD identifiziert verdächtige Aktivitäten sofort – noch bevor sich Malware wie QakBot vollständig im Netzwerk etablieren kann.

Vorteile im Überblick:

• Permanente Netzwerküberwachung durch erfahrene Analysten
  
• Schnelle Alarmierung bei Anzeichen von kompromittierten Systemen
  
• Keine Installation notwendig – Cloud-fähig und skalierbar
  
• Erfüllt die Anforderungen des BSI für Systeme zur Angriffserkennung
  
• Auch für mittelständische Unternehmen wirtschaftlich umsetzbar

Handlungsempfehlungen für IT-Verantwortliche

Um sich vor Angriffen durch QakBot und vergleichbare Bedrohungen zu schützen, empfehlen wir:

• E-Mails mit ungewöhnlichen Anhängen nie unkritisch öffnen, selbst wenn sie aus vermeintlich vertrauter Quelle stammen
  
• Skript- und Makroausführung in Windows-Systemen einschränken
  
• PowerShell Logging aktivieren und regelmäßig auswerten
  
• Endpoint Detection & Response (EDR) einsetzen
  
• Mitarbeitende regelmäßig im Umgang mit Social Engineering schulen

Checkliste: Was tun bei Verdacht auf QakBot?

• Infiziertes System sofort vom Netz trennen
  
• Netzwerk nach lateralem Datenverkehr untersuchen
  
• Temporäre Dateien und PowerShell-Protokolle sichern
  
• Forensische Analyse durchführen lassen
  
• Alle Zugangsdaten ändern – insbesondere E-Mail, RDP, VPN
  
• Managed Detection Service aktivieren oder erweitern

Fazit: QakBot bleibt – aber mit ACD sind Sie vorbereitet

Die Taktiken der Angreifer werden raffinierter – doch auch die Verteidigungsmöglichkeiten wachsen. Mit einem Managed Detection and Response Service wie Active Cyber Defense erhalten Unternehmen die nötige Transparenz und Reaktionsgeschwindigkeit, um Infektionen rechtzeitig zu erkennen und einzudämmen. Ein klarer Sicherheitsvorteil – gerade in Zeiten dynamischer Angriffswellen.

Vereinbaren Sie eine unverbindliche Erstberatung und lassen Sie Ihre IT-Security auf QakBot & Co. prüfen.