Warnung vor E-Mails mit Qakbot-Malware

Zur Zeit erreichen uns vermehrt Meldungen über E-Mails, mit denen die Malware Qakbot verteilt werden soll.

Diese Mails sind leider vom Aufbau her sehr unterschiedlich:

• kein einheitlicher Betreff
• nicht beschränkt auf eine konkrete Absende-Adresse
• kein einheitlicher Text
• teilweise befindet sich die Malware im Anhang, z.B. als .zip-Datei, teilweise enthalten die Mails Links zu Webseiten, von denen die Malware nachgeladen wird

Von daher ist eine automatisierte Markierung dieser Mails als Spam schwierig und kann im Moment nicht zuverlässig garantiert werden.

Es gibt jedoch einige Anzeichen, an denen sich die aktuell versendeten Qakbot-Mails durch Menschen erkennen lassen (vgl. Screenshot eines Beispiels unten):

1. Im Betreff der Nachricht tauchen Buchstaben-Dopplungen auf
2. Die E-Mail-Adresse passt nicht zum:zur vermeintlichen Kommunikationspartner:in.
3. Der:Die Empfänger:in wird zum Öffnen einer angehängten Datei oder zum Klicken eines Links aufgefordert.
4. Verwendung von Thread-Hijacking: Die Mails zitieren einen tatsächlich stattgefundenen Kommunikationsverlauf, beziehen sich aber in der Regel nicht sinnvoll darauf. Möglicherweise fehlen im bisherigen Kommunikationsverlauf auch die Umlaute.

Wir bitten daher um erhöhte Aufmerksamkeit beim Öffnen von Mail-Anhängen und dem Anklicken von Links in Mails.

Wichtig: Leider gilt auch hier, dass die Abwesenheit einzelner oben genannter Merkmale kein verlässliches Zeichen dafür ist, dass es sich um eine gutartige Mail handelt.

Sollten Sie sich unsicher sein, ob eine E-Mail seriös ist oder nicht, fragen Sie gerne bei der:dem IT-Verantwortlichen Ihres Instituts nach oder leiten Sie die Mail per Anhang weiter an mail@cert.uni-stuttgart.de.