Bei der jüngsten Kampagne wird die Malware über E-Mails in englischer, deutscher, italienischer und französischer Sprache verbreitet. Die Nachrichten basieren auf echten Geschäfts-E-Mails, zu denen die Angreifer Zugang erhalten haben. Dies gibt den Angreifern die Möglichkeit, sich mit eigenen Nachrichten in die Korrespondenz einzuschalten, so Kaspersky in seinem Bericht.
Durch solche E-Mails versuchen die Angreifer, das Opfer zum Herunterladen einer angehängten PDF-Datei zu bewegen, mit deren Hilfe sie schliesslich den Qbot-Trojaner auf dem Computer des Opfers installieren.
Der Inhalt der PDF-Datei imitiert eine Microsoft Office 365- oder Microsoft Azure-Warnung und empfiehlt dem Opfer, auf "Öffnen, um die angehängten Dateien anzuzeigen" zu klicken. Sobald die Datei geöffnet ist, wird ein Archiv von einem Remote-Server heruntergeladen.
In dem heruntergeladenen Archiv befindet sich eine .wsf-Datei (Windows Script File), die ein in JScript geschriebenes, verschleiertes Skript enthält. Wenn die WSF-Datei entschlüsselt wird, kommt ein PowerShell-Skript zum Vorschein.
Das PowerShell-Skript wird dann auf dem Computer des Opfers ausgeführt, um den Qbot-Trojaner herunterzuladen, der dann versucht, die Bankdaten des Opfers zu stehlen.
Weitere Informationen, und was Sie dagegen tun können, unter: Security Awareness Training & Simulated Phishing Platform (csf.ch)