Betreiber des Qbot-Botnetzes verteilen Malware (öffnet sich in neuem Tab) nicht mehr über manipulierte Microsoft-Office-Dokumente. Stattdessen entscheiden sie sich für bösartige Windows Installer MSI-Pakete.
Cybersicherheitsforscher sehen darin eine „direkte Reaktion“ auf die Entscheidung von Microsoft, die Verbreitung von Schadsoftware über Office-Makros zu verhindern.
Qbot oder Quakbot ist ein Windows-Banking-Trojaner, der seit über einem Jahrzehnt durch die Wildnis streift. Hacker verwenden es oft, um Bank-Login-Informationen sowie persönliche und andere identitätsbezogene Daten zu stehlen. Es kann auch als Pipette verwendet werden, die Cobalt Strike an kompromittierte Endpunkte abgibt (wird in einem neuen Tab geöffnet).
Makros seit Januar deaktiviert
Zu den Bedrohungsakteuren, die Qbot typischerweise einsetzen, gehören REvil, Egregor und MegaCortex, die alle eher auf Unternehmen als auf Einzelpersonen abzielen.
Ende Januar dieses Jahres traf Microsoft eine wichtige Entscheidung, um Kriminelle davon abzuhalten, Office-Dateien zur Verbreitung von Malware zu verwenden: Excel 4.0-Makros (XLM) wurden standardmäßig deaktiviert.
Im Juli 2021 veröffentlichte das Unternehmen eine neue Excel Trust Center-Einstellungsoption, mit der Administratoren die Verwendung von Excel 4.0-Makros (XLM) einschränken können. Seitdem hat es diese Option zum Standard für alle gemacht.
Excel 4.0-Makros (XLM) waren bis 1993 das Standardformat, und obwohl sie inzwischen eingestellt wurden, können sie immer noch mit den neuesten Versionen des Office-Programms ausgeführt werden. Dies macht sie ideal für Bedrohungsakteure, die sie missbraucht haben, um Malware wie TrickBot, Zloader, Qbot, Dridex, Ransomware (wird in einem neuen Tab geöffnet) und viele andere Malware zu verbreiten.
Administratoren können die vorhandene Microsoft 365 App Policy Control verwenden, um diese Option zu konfigurieren. Die Gruppenrichtlinieneinstellung „Makrobenachrichtigungseinstellungen“ für Excel befindet sich unter folgendem Pfad und Registrierungsschlüssel:
Gruppenrichtlinienpfad: Benutzerkonfiguration > Administrative Vorlagen > Microsoft Excel 2016 > Excel-Optionen > Sicherheit > Vertrauensstellungscenter.
Registrierungsschlüsselpfad: computerHKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftOffice16.0excelsecurity
Über: BleepingComputer (Öffnet in einem neuen Tab)