Trickbot: Cyber-Kriminelle setzen auf bewährten Banking-Trojaner

Check Point stellt Top Malware vom April 2019 vor

[datensicherheit.de, 14.05.2019] Nach eigenen Angaben bestätigen Sicherheitsforscher aus dem Hause Check Point die Rückkehr von „Trickbot“ – einem Mehrzweck-Banking-Trojaner. Außerdem rückt laut Check Point mit „Pony“ ein weiterer Info-Stealer auf Platz 3 vor.

Trickbot: Bankdaten sammeln und Steuerdokumente stehlen

Die Check Point® Software Technologies Ltd. hat den neuesten „Global Threat Index“ für April 2019 veröffentlicht. Nach vielen Monaten verlieren demnach Ransomware und Kryptominer erstmals an Boden, denn der Banking-Trojaner „Trickbot“ sei nach fast zwei Jahren zurück unter den obersten Drei des Index.
Mehrzweck-Banking-Trojaner wie „Trickbot“ seien eine „beliebte Wahl aller Cyber-Kriminellen, die auf große Geldgewinne hoffen“. „Trickbot“-Einsätze hätten im April 2019 stark zugenommen, angeführt von einer Spam-Kampagne zum „US-amerikanischen Steuertag“, der mit der Frist für die Einkommensteuererklärung in den Vereinigten Staaten zusammenfalle. In Spam-Nachrichten seien „Excel“-Dokumente als Dateianhänge verbreitet worden, hinter denen sich „Trickbot“ versteckt habe, um auf die Computer der Opfer heruntergeladen zu werden. Kaum geschehen, habe sich der Banking-Trojaner über Netzwerke verbreitet, um Bankdaten zu sammeln und Steuerdokumente für betrügerische Zwecke zu stehlen.

Pony: Info-Stealer in Top 3 aufgestiegen

Diese Rückkehr des eigentlich sehr alten Banking-Trojaners „Trickbot“ verdeutliche die Verlagerung der Taktiken, mit denen Kriminelle ihre finanziellen Erträge aus Kampagnen maximierten: Mehrere beliebte Kryptomining-Dienste seien vom Netz gegangen und die Werte von Kryptowährungen im vergangenen Jahr, 2018, stetig gesunken. Nun griffen die Kriminellen wieder auf bewährte Methoden zurück.
Neben „Trickbot“, der es auf die Bankkonten abgesehen habe, steige mit „Pony“ passenderweise ein Info-Stealer in die Top 3 auf. Auch dieser sei sehr alt und erfahre nun eine Wiederbelebung durch Internet-Kriminelle, um Nutzerdaten und Zugangsinformationen zu stehlen, oder sogar von Rechner zu Rechner zu hüpfen, um ein Botnetz anzulegen.

Verbreitung der „Ryuk“-Ransomware

Maya Horowitz, „Threat Intelligence and Research Director“ bei Check Point, kommentiert: „In diesem Monat haben es sowohl ,Trickbot‘ als auch der Dauerbrenner ,Emotet‘ unter die Top 3 der Malware-Liste geschafft.“ Dies sei besonders beunruhigend, da beide Botnets heutzutage nicht nur zum Stehlen privater Daten und Zugangsinformationen, sondern auch zur Verbreitung der „Ryuk“-Ransomware verwendet würden.
„Ryuk“ sei bekannt dafür, dass er auf Vermögenswerte wie Datenbanken und Backup-Server ziele und ein Lösegeld bis über einer Million US-Dollar verlange. „Da sich diese Malware ständig weiterentwickelt, ist es wichtig, eine robuste Verteidigungslinie gegen sie aufzubauen, die eine fortschrittliche Bedrohungsabwehr bietet“, so Horowitz.

Top 3 „Most Wanted Malware“ im April 2019 lt. Check Point:

↔ „Emotet“ – ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Früher als Banking-Trojaner eingesetzt, dient er derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.

↑ „Trickbot“ – ist eine „Dyre“-Variante, seit Oktober 2016 auf dem Markt. Seitdem hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor Kurzem gerieten auch Indien, Singapur und Malaysia ins Visier, nun folgt Deutschland.

↑ „Pony“ – ein Info-Stealer, in erster Linie entwickelt, um Benutzerdaten von infizierten „Windows“-Plattformen zu stehlen und sie an einen C&C-Server zurückzusenden. Auch bekannt als „Pony Stealer“, „Pony Loader“, „FareIT“ u.a. „Pony“ gibt es seit 2011 und bis uns Jahr 2013 wurde der Quellcode öffentlich gemacht, so dass sich dezentrale Versionen entwickeln konnten. Die vielfältigen Funktionen ermöglichen es Angreifern nicht nur, System- und Netzwerkaktivitäten zu überwachen oder zusätzliche Malware herunterzuladen und zu installieren, sondern auch weitere Rechner zu infizieren, um ein Botnet anzulegen. Aufgrund seiner dezentralen Struktur wurde „Pony“ hinter zahlreichen, unterschiedlichen Angriffsvektoren erkannt.

Die am häufigsten ausgenutzten Cyber-Schwachstellen analysiert

Die Sicherheitsforscher von Check Point hätten auch die am häufigsten ausgenutzten Cyber-Schwachstellen analysiert. „OpenSSL TLS DTLS Heartbeat Information Disclosure Exploits“ liege vorne mit einer globalen Auswirkung auf 44 Prozent der Unternehmen.
Zum ersten Mal nach zwölf Monaten sei „Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow“ (CVE-2017-7269) vom ersten Platz abgefallen, habe aber stattliche 40 Prozent der Unternehmen betroffen, gefolgt vom Neuling „Apache Struts2 Content-Type Remote Code Execution“ (CVE-2017-5638) mit einem globalen Einfluss von 38 Prozent der Unternehmen auf der ganzen Welt.

Top 3 „Most Exploited“-Schwachstellen im März 2019 lt. Check Point:

↑ „OpenSSL TLS DTLS Heartbeat Information Disclosure“ (CVE-2014-0160; CVE-2014-0346) – eine Schwachstelle zur Offenlegung von Informationen, die in „OpenSSL“ aufgrund eines Fehlers beim Umgang mit „TLS/DTLS-Heartbeat“-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

↓ „Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow“ (CVE-2017-7269): Durch das Senden einer Anforderung über ein Netzwerk an den „Microsoft Windows Server 2003 R2“ und über die „Microsoft Internet Information Services 6.0“ kann ein Angreifer von außen einen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Schwachstelle im Puffer-Overflow zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.

↑ „Apache Struts2 Content-Type Remote Code Execution“ (CVE-2017-5638) – in den „Apache Struts2“ mit „Jakarta Multipart Parser“ besteht eine Sicherheitslücke bei der Ausführung von Remote-Code. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen ungültigen Inhaltstyp als Teil einer Datei-Upload-Anfrage sendet. Eine erfolgreiche Ausnutzung kann zur Ausführung von beliebigem Code auf dem betroffenen System führen.

„ThreatCloud Intelligence“ zur Bekämpfung der Cyber-Kriminalität

Der „Global Threat Impact Index“ und die „ThreatCloud Map“ von Check Point basierten auf der „ThreatCloud Intelligence“ von Check Point, „dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität“, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefere.
Die „ThreatCloud“-Datenbank enthält laut Check Point über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als elf Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziere es täglich mehrere Millionen von Malware-Typen.

© Check Point

Maya Horowitz: Sowohl „Trickbot“ als auch der Dauerbrenner „Emotet“ unter die Top 3 der Malware-Liste

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner