AgentTesla: Rang 2 der Angreifer auf deutsche Computer

Check Point stellt „Top Malware“ des Monats Juli 2019 vor

[datensicherheit.de, 10.08.2019] Check Point Research, die „Threat Intelligence“-Abteilung von Check Point® Software Technologies Ltd., hat nach eigenen Angaben im Rahmen der Recherchen für den „Global Threat Index“ für Juli 2019 neue Schadprogramme gegen Unternehmen weltweit entdeckt. Nach „Agent Smith“ attackiert demnach nun „AgentTesla“ deutsche Geräte und sortiert sich sofort auf Rang 2 der wichtigsten Bedrohungen ein. Dabei handele es sich um einen „Remote Access Trojan“ (RAT), der vor allem als Keylogger und Passwort-Dieb eingesetzt werde. Seit 2014 treibe diese Malware ihr Unwesen und könne vielfältige Informationen aus dem Rechner des Opfers auslesen, wie die Eingaben der Tastatur. „AgentTesla“ werde am Schwarzmarkt für nur 15 bis 69 US-Dollar je Lizenz vertrieben, berichtet Maya Horowitz, „Director Threat Intelligence & Research and Products“ bei Check Point.

Foto: Check Point® Software Technologies Ltd.

Maya Horowitz: AgentTesla auf Rang 2 der wichtigsten Bedrohungen

Unangefochten hält sich Emotet an der Spitze

Auf Platz 3 folge zudem ein weiterer Neuling, „Nanocore“, ebenfalls ein RAT, „der bevorzugt ,Windows‘-Systeme befällt und sämtliche Standard-Befehle eines RAT beherrscht, wie Krypto-Mining oder Fernzugriff“. Unangefochten aber halte sich „Emotet“ an der Spitze und mache deutschen Unternehmen weiter zu schaffen.
Hinzu komme eine gefährliche Schwachstelle, die die Sicherheitsforscher in „OpenDreamBox 2.0.0 WebAdmin Plugin“ gefunden hätten. Sie betreffe weltweit 32 Prozent der Unternehmen. Diese Sicherheitslücke erlaube es Angreifern, über den Fernzugriff Befehlszeilen auf den anvisierten Rechnern auszuführen. „Jedoch handelt es sich bei Attacken auf diese Lücke stets um nur einen von vielen Angriffswegen, die gleichzeitig erfolgen können und vornehmlich auf IoT-Geräte abzielen.“ Ins Visier gerate dabei besonders die Schwachstelle „MVPower DVR Remote Code Execution“. Die Vorgehensweise der Angreifer weise Ähnlichkeiten mit dem berüchtigten „Mirai Botnetz“-Angriff auf.

Angreifer versuchen stets, neue Schwachstellen auszunutzen

„Angreifer versuchen stets, neue Schwachstellen auszunutzen, sobald sie gefunden wurden. Unternehmen haben dann überhaupt nicht die Möglichkeit, diese zu schließen. Der ,OpenDreamBox‘-Fehler bildet keine Ausnahme. Dennoch ist es überraschend, dass fast ein Drittel der Unternehmen betroffen sind und ist ein Beleg dafür, dass Firmen solche Schwachstellen schnell fixen müssen, um sich wirksam zu schützen“, erläutert Horowitz.
Im Juli 2019 seien außerdem die Krypto-Mining-Schadprogramme im Ranking stark zurückgefallen, obwohl sie mehrere Monate lang den Nutzern zu schaffen gemacht hätten. Besonders die Verbreitung und Aktivitäten von „Cryptoloot“ hätten sich verringert.

Most Wanted Malware im Juli 2019

„Der starke Rückgang von ,Cryptoloot‘ ist ebenfalls interessant. In den letzten anderthalb Jahren war der Miner sehr häufig in den Top-Malware-Listen. Er wurde, weltweit betrachtet, zur zweithäufigsten Malware-Variante der ersten Jahreshälfte 2019 gewählt. Wir glauben, dass der Rückgang mit dem großen Rivalen ,Coinhive‘ zusammenhängt, der seine Tätigkeit im Frühling 2019 einstellte. Kriminelle verlassen sich mittlerweile auf alternative Krypto-Mining-Malware wie ,XMRig‘ und ,Jsecoin‘“, führt Horowitz aus.
Die „Most Wanted Malware“ im Juli 2019 (die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat):
↔ „Emotet“ – ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. „Emotet“ sei früher als Banking-Trojaner eingesetzt worden, aber diene derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutze verschiedene Methoden, um betriebsbereit zu bleiben und kenne Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich könne er durch Phishing-E-Mails mit schädlichen Anhängen oder Links verbreitet werden.
↑ „AgentTesla“ – ein fortschrittliche RAT, der als Keylogger und Passwort-Dieb fungiere und seit 2014 Computer infiziere. „AgentTesla“ sei in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehörten (einschließlich „Google Chrome“, „Mozilla Firefox“ und „Microsoft Outlook E-Mail-Client“). „AgentTesla“ sei als RAT verkauft worden, wobei die Kunden 15 bis 69 US-Dollar je Lizenz gezahlt hätten.
↑ „NanoCore“– ein Fernzugriffs-Trojaner, der seit 2013 in aller Munde sei und sich gegen „Windows“-Betriebssysteme richte. Alle Versionen dieses RAT verfügten über Basis-Plugins und Funktionalitäten wie „Screen Capture“, „Krypto Currency Mining“ oder „Remote Control“.

Die 3 Most Wanted Mobile Malware im Juli 2019

Im Juli 2019 sei „Lotoor“ erneut die am weitesten verbreitete Schadsoftware gegen mobile Geräte, gefolgt von „AndroidBauts“ und „Piom“ – zwei neuen mobile Schadprogramme in der „Top 3“-Liste auf den Plätzen 2 und 3:
1. ↔ „Lotoor“ nutze Schwachstellen im „Android“-Betriebssystem aus, um Root-Rechte auf diesen mobilen Geräten zu erlangen.
2. ↑ „AndroidBauts“ – eine Adware gegen „Android“, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen könne und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermögliche.
3. ↑ „Piom“ – ebenfalls eine Adware: Diese könne das Browser-Verhalten des Benutzers überwachen und unerwünschte Werbung einblenden, basierend auf dieser Analyse der Webaktivitäten.

Die 3 Most Exploited Schwachstellen im Juli 2019

Im Juli 2019 hätten sich die „SQL Injections“-Angriffs-Techniken weiterhin – mit einem leichten Rückgang – auf Platz 1 der Liste der häufigsten, ausgenutzten Schwachstellen halten können, bei einer globalen Auswirkung von 46 Prozent. „OpenSSL TLS DTLS Heartbeat Information Disclosure“ habe seinen 2. Platz mit 41 Prozent verteidigt. Knapp dahinter folge eine neue Schachstelle unter den „Top 3“ mit 40 Prozent – „MVPower DVR Remote Code Execution“.
↔ „SQL Injection“ (verschiedene Techniken) – dieser Angriff bezeichne die Ausnutzung einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Die Schwachstelle entstehe durch mangelnde Maskierung oder Überprüfung von Metazeichen (;) in Benutzereingaben.
↔ „OpenSSL TLS DTLS Heartbeat Information Disclosure“ (CVE-2014-0160; CVE-2014-0346) – eine Schwachstelle zur Offenlegung von Informationen, die in „OpenSSL“ aufgrund eines Fehlers beim Umgang mit „TLS/DTLS-Heartbeat-Paketen“ bestehe. Ein Angreifer könne diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
↑ „MVPower DVR Remote Code Execution“ – eine Sicherheitslücke während der Ausführung von Remote-Code bestehe in „MVPower-DVR“-Geräten. Ein Angreifer von außen könne diese Schwachstelle nutzen, um beliebigen Code im betroffenen Router über eine selbst gebastelte Anfrage auszuführen.

Weitere Informationen zum Thema:

Check Point
July 2019’s Most Wanted Malware: Vulnerability in OpenDreamBox 2.0.0 WebAdmin Plugin Enables Attackers to Execute Commands Remotely

datensicherheit.de, 25.07.2019
Cyber Attack Trends: 2019 Mid-Year Report veröffentlicht

datensicherheit.de, 15.06.2019]
Check Point: Top Malware im Mai 2019

datensicherheit.de, 14.05.2019
Trickbot: Cyber-Kriminelle setzen auf bewährten Banking-Trojaner