Een nieuwe versie van de Qakbot-bankmalware heeft wereldwijd duizenden computers besmet, waaronder die van cybersecuritybedrijven. Dat meldt securitybedrijf Varonis. De eerste versie van Qakbot dateert van 2009. Sindsdien zijn er allerlei nieuwe varianten van de malware verschenen.
De malware is ontwikkeld om gegevens voor internetbankieren te stelen en toetsaanslagen op te slaan. De nu ontdekte versie wordt verspreidt via e-mailbijlagen. Het gaat om zip-bestanden met daarin het bestand "REQ_02132019b.doc.vbs". Windows geeft standaard de extensie van bestanden niet weer, waardoor gebruikers kunnen denken dat het om een .doc-bestand gaat. Zodra de gebruiker het .vbs-bestand opent wordt er informatie over het besturingssysteem en aanwezige beveiligingssoftware opgevraagd. Uiteindelijk wordt Qakbot geïnstalleerd.
Varonis vond op een server van de aanvallers een logbestand met activiteiten van de malware en ip-adressen van slachtoffers. Het ging om meer dan 2700 ip-adressen, waarvan ruim 1700 in de Verenigde Staten. Het werkelijke aantal besmette systemen is waarschijnlijk hoger aangezien veel organisaties port address translation gebruiken, wat het interne ip-adres maskeert, aldus het securitybedrijf.
"Van wat we kunnen zien zitten middelgrote ondernemingen en Fortune 500-bedrijven tussen de getroffen bedrijven, alsmede hun serviceproviders. Wat ook een interessant feit is, is dat we grote cybersecurityleveranciers in het overzicht van slachtoffers vonden", zegt Snir Ben Shimol van Varonis tegenover Verdict. Het is onbekend of de infecties bij deze leveranciers onderdeel van onderzoek waren of dat daadwerkelijke productiesystemen zijn getroffen. Varonis heeft de namen van deze bedrijven niet bekendgemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.