[datensicherheit.de, 28.09.2023] Kaspersky-Experten haben nach eigenen Angaben eine neue Kampagne des Banking-Trojaners „Zanubis“ aufgedeckt, welcher sich demnach als legitime Apps ausgeben kann. Derzeit tarne er sich als offizielle App der peruanischen Regierungsorganisation SUNAT, um die Kontrolle über angegriffene Geräte zu erlangen. Weiterhin seien zwei Schadprogramme entdeckt worden, welche es explizit auf Krypto-Wallets abgesehen hätten – die kürzlich aufgetauchte Malware ,AsymCrypt‘ und der sich stetig weiterentwickelnde Stealer ,Lumma‘.

Zanubis trat nach Kaspersky-Erkenntnissen erstmalig im August 2022 in Erscheinung

Der „Android“-Banking-Trojaner „Zanubis“ trat laut Kaspersky-Erkenntnissen zum ersten Mal im August 2022 in Erscheinung und zielte anfänglich auf Nutzer von Finanz- und Krypto-Apps in Peru ab. „Er gab sich als legitime ,Android’-App aus, um Anwender dazu zu verleiten, Zugriffsberechtigungen zu erteilen. Im April dieses Jahres gingen die Hintermänner der Malware einen Schritt weiter und tarnten Zanubis als offizielle App der peruanischen Regierungsorganisation SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria).“ Dieser Trojaner werde mit Hilfe von „Obfuscapk“ – einem beliebten Obfuskator für „Android“-APK-Dateien – verschleiert. „Sobald er die Erlaubnis für den Gerätezugriff erhält, lädt er mithilfe von ,WebViewer’ eine legitime SUNAT-Website und führt somit das Opfer damit in die Irre.“

Zur Kommunikation mit dem Server verwendet „Zanubis“ „WebSockets“ und die Bibliothek „Socket.IO“. Dadurch könne dieser Trojaner sich individuell an die vorherrschenden Gegebenheiten anpassen und die Verbindung selbst bei auftretenden technischen Problemen aufrechterhalten. „Zanubis“ verfüge nicht über eine feste Liste von Ziel-Apps, sondern könne durch entsprechende Remote-Programmierung Daten bei Ausführung bestimmter Apps stehlen. Darüber hinaus stelle er eine zweite Verbindung her, wodurch Cyber-Kriminelle die volle Kontrolle über ein bestimmtes Gerät erlangen könnten, und sei – getarnt als „Android“-Update – in der Lage, es komplett zu deaktivieren.

Weitere Kaspersky-Entdeckung: AsymCrypt und Lumma zielen auf Krypto-Wallets

„Eine weitere Entdeckung der Kaspersky-Experten ist Cryptor und Loader ,AsymCrypt’, der auf Krypto-Wallets abzielt und in Darknet-Foren verkauft wird.“ Dabei handele es sich um eine weiterentwickelte Version des „DoubleFinger“-Loaders, der vorgebe, zu einem „TOR“-Netzwerkdienst zu führen. Die Käufer von „AsymCrypt“ könnten Injektionsmethoden, Zielprozesse, Startpersistenz und Stub-Typen für schädliche DLLs individuell anpassen – „wodurch sich die Payload in einem verschlüsselten Blob innerhalb eines .png-Bildes, das auf eine Bild-Hosting-Website hochgeladen wird, verstecken lässt“. Bei der Ausführung werde das Bild entschlüsselt und die Payload im Speicher aktiviert.

Zudem seien die Experten von Kaspersky auf den „Lumma“-Stealer gestoßen, einer sich sukzessiv weiterentwickelnden Malware-Familie. Ursprünglich unter dem Namen „Arkei“ bekannt, habe „Lumma“ 46 Prozent seiner früheren Eigenschaften beibehalten. Als .docx-zu.pdf-Konverter getarnt, löse dieser Stealer, sobald hochgeladene Dateien mit der doppelten Erweiterung .pdf.exe zurückkommen, die schädliche Payload aus. Die Hauptfunktionalität aller Varianten habe sich jedoch im Laufe der Zeit nicht verändert – der Diebstahl zwischengespeicherter Dateien, Konfigurationsdateien und Protokollen von Krypto-Wallets. Der „Lumma“-Stealer gebe sich dafür als Browser-Plugin aus, unterstützt aber auch die eigenständige „Binance“-App. Die Entwicklung von „Lumma“ umfasse die Übernahme von Systemprozesslisten, die Änderung von Kommunikations-URLs und die Optimierung von Verschlüsselungstechniken.

Kaspersky sieht in Threat Intelligence eine entscheidende Rolle für betriebliche IT-Sicherheit

„Cyber-Kriminelle sind in ihrem Streben nach finanziellem Gewinn grenzenlos. Sie wagen sich in die Welt der Krypto-Währungen vor und geben sich sogar als staatliche Institutionen aus“, Tatyana Shishkova, leitende Sicherheitsforscherin im „Global Research and Analysis Team“ (GReAT) bei Kaspersky, in ihrem Kommentar. Die sich ständig weiterentwickelnde Malware-Landschaft, wie der facettenreiche „Lumma“-Stealer und „Zanubis“ als vollwertiger Banking-Trojaner zeigten, machten die dynamische Entwicklung solcher Bedrohungen deutlich.

Sicherheitsteams stehen laut Shishkova permanent vor der Herausforderung, sich an ständig verändernde schädliche Codes und cyber-kriminelle Taktiken anzupassen. Um sich vor solchen Gefahren zu schützen, müssten Unternehmen wachsam und gut informiert bleiben. Sie führt abschließend aus: „Threat Intelligence spiele eine entscheidende Rolle, wenn es darum geht, sich über die neuesten schädlichen Tools und Techniken von Angreifern auf dem Laufenden zu halten. Sie ermöglichen es Unternehmen, den Cyber-Kriminellen im ständigen Kampf für digitale Sicherheit einen Schritt voraus zu sein.“

3 Kaspersky-Empfehlungen:

Offline-Backups erstellen, die von Eindringlingen nicht manipuliert werden können!
Dabei müsse im Notfall ein schneller Datenzugriff gesichert ermöglicht werden.

Einen Ransomware-Schutz für alle Endgeräte implementieren!
Z.B. das kostenlose „Kaspersky Anti-Ransomware Tool for Business“, welches Computer und Server vor Ransomware und anderen Arten von Malware schütze, Exploits verhindere und mit bereits installierten Sicherheitslösungen kompatibel sei.

Sicherheitslösungen mit Anwendungs- und Webkontrolle nutzen!
„Kaspersky Endpoint Security for Business“ beispielsweise minimiere die Wahrscheinlichkeit, dass Krypto-Miner unrechtmäßig gestartet werden. Die integrierte Verhaltensanalyse-Funktion helfe darüber hinaus, schädliche Aktivitäten schnell zu erkennen – und der Schwachstellen- und Patch-Manager schütze vor Sicherheitslücken ausnutzenden Krypto-Minern.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 28.09.2023
A cryptor, a stealer and a banking trojan

SECURELIST by Kaspersky, 12.06.2023
Sneaky DoubleFinger loads GreetingGhoul targeting your cryptocurrency

[datensicherheit.de, 10.11.2021] Laut einer aktuellen Stellungnahme von Check Point greift derzeit eine hochgezüchtete, raffinierte Malware spanischsprachige E-Banking-Nutzer erneut an. Das Interessanteste an diesem Schädling sei seine Technik und Hartnäckigkeit, welche sich auf andere Volksgruppen übertragen ließen. Im Juli 2021 hatte die spanische Polizei demnach 16 verdächtige Personen wegen Geldwäsche im Zusammenhang mit dieser Malware gefasst – nun attackiere sie spanischsprachige Länder. Urheber der neuen Version scheine eine brasilianische Verbrecherbande zu sein. Check Point hat nach eigenen Angaben bereits über 100 Attacken blockiert.

Abbildung: Check Point Research

Check Point Research beschreibt den Angriffsweg des Banking-Trojaners Mekotio

Mekotio-Attacke beginnt mit Spoofing-E-Mail unter falschem Markennamen

Nach Erkenntnissen von „Check Point Research“ (CPR), der Forschungsabteilung der Check Point® Software Technologies Ltd., beginnt die Attacke mit einer Spoofing-E-Mail unter falschem Markennamen, welche unter dem Betreff „digital tax receipt pending submission“ laufe – also einer fingierten digitalen Zahlungsaufforderung mit benötigter Freigabe.
Die Sicherheitsforscher vermuten „eine Gruppe brasilianischer – eigentlich damit portugiesisch-sprachiger – Krimineller hinter der neuen Kampagne und glauben, diese vermiete die Malware außerdem an andere Gruppen – ein mittlerweile gängiges Modell auf dem Schwarzmarkt“. Bislang seien vor allem Bürger in Brasilien, Chile, Mexiko, Peru und erneut Spanien betroffen.

Mekotio-Attacken gegen Windows-Rechner

„Mekotio“ richte sich gegen „Windows“-Rechner und bleibe nach dem Einbruch vorerst versteckt und weiche Viren-Scannern aus, „bis sich der Nutzer des Rechners bei seinem elektronischen Bankkonto über das Internet anmeldet“. In diesem Moment stehle die Malware dessen Zugangsinformationen. Die neue Version sei in diesen Fähigkeiten gestärkt worden.
Eingang finde die Malware über eine spanische Phishing-Nachricht, „wie zuvor beschrieben, die einen Link zu einem verseuchten zip-Archiv enthält oder eines anhängen hat“. Wird dieses heruntergeladen und entpackt, nehme „Mekotio“ heimlich seine Arbeit auf.

Mekotio-Vorgehen kaum von Sicherheitslösungen erkannt

Dieses Vorgehen sei ein interessanter Trick, weswegen diese Malware kaum von Sicherheitslösungen erkannt werde: „Sie verwendet eine veraltete Verschlüsselung namens ,substitution cipher‘, um ihre Dateien zu verstecken, die moderne Viren-Scanner oft nicht mehr erkennen.“ Auf der anderen Seite nutzten die Entwickler eine neue, kommerziell vertriebene Software namens „Themida“, um die Nutzlast des Schadprogrammes sehr ausgefeilt zu verschlüsseln, sowie Anti-Debug und Anti-Monitoring als Funktionen zu integrieren.
Die Sicherheitsforscher mahnen die Bürger der betroffenen Länder zu besonderer Vorsicht wegen der E-Mails und raten zur „Nutzung der Zwei-Faktor-Authentifizierung, wodurch der Diebstahl der Anmelde-Daten zum E-Bank-Konto alleine nutzlos gemacht wird“.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, 03.11.2021
Mekotio Banker Returns with Improved Stealth and Ancient Encryption / Research by: Arie Olshtein & Abedalla Hadra

[datensicherheit.de, 07.10.2021] Check Point Research (CPR) hat nach eigenen Angaben „Attacken gegen die Anwendung ,PIX‘, ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem, entdeckt“. Cyber-Kriminelle brachten Nutzer demnach dazu, ihr Guthaben auf ein anderes Bankkonto zu überweisen. Auslöser seien zwei bösartige Anwendungen im „Google Play Store“ gewesen.

PIX gilt als führende Zahlungslösung in Brasilien

Die Check Point® Software Technologies Ltd. habe einen neuen Banking-Trojaner in Brasilien enttarnt. Hacker hätten zwei Varianten mit den Namen „PixStealer“ und „MalRhino“ über zwei bösartige Anwendungen im „Play Store“ von Google verbreitet.
„Beide Apps wurden entwickelt, um das Geld der Opfer durch Benutzerinteraktion und die ursprüngliche ,PIX‘-Anwendung zu stehlen. ,PIX‘ gilt als die führende Zahlungslösung in Brasilien, die täglich über 40 Millionen Transaktionen verarbeitet und wöchentlich 4,7 Milliarden Dollar umsetzt.“

PixStealer operiert ohne Verbindung zu Command-and-Control-Server

Die erste der beiden Variante werde als „PixStealer“ bezeichnet. Die Angreifer hätten diesen Trojaner in einer, wie CPR es nennt, „schlanken Form“ entwickelt, die nur eine Funktion habe: Das Geld eines Opfers auf ein vom Angreifer kontrolliertes Konto zu überweisen.
„Schlank“ werde „PixStealer“ genannt, weil er ohne Verbindung zu einem „Command-and-Control-Server“ (C&C) operiere. Diese Fähigkeit mache es sehr wahrscheinlich, unentdeckt zu bleiben.

Nach Öffnung der PIX-Bank-Anwendung zeigt PixStealer dem Opfer ein Overlay-Fenster

CPR habe schließlich herausgefunden, dass „PixStealer“ im „Google Play Store“ als gefälschter „PagBank Cashback Service“ (brasilianische Finanztechnologie für das Online-Banking) verbreitet werde, welcher auf die zugehörige brasilianische PagBank abziele.
„Wenn ein Benutzer seine ,PIX‘-Bank-Anwendung öffnet, zeigt ,PixStealer‘ dem Opfer ein Overlay-Fenster, worin der Benutzer die Schritte des Angreifers nicht sehen kann. Hinter dem Overlay-Fenster aber ruft der Angreifer den verfügbaren Geldbetrag ab und überweist ihn auf ein anderes Konto.“

Fortschrittlichere Variante in der Lage, PIX und andere Banken-Anwendungen zu kapern

CPR habe außerdem eine fortschrittlichere Variante entdeckt, welche in der Lage sei, die gesamte „PIX“-Anwendung und sogar andere Banken-Anwendungen zu kapern. Unter dem Namen „MalRhino“ habe CPR die Variante in einer gefälschten „iToken“-App (eine Anwendung zur Identifizierung und Authentifizierung von Benutzern) für die Brazilian Inter Bank gefunden, welche ebenfalls über den „Google Play Store“ verbreitet werde.
„MalRhino“ zeige seinem Opfer eine Nachricht an, um es davon zu überzeugen, die Zugriffsberechtigung zu erteilen. „Sobald die Erlaubnis erteilt wurde, kann ,MalRhino‘ die installierten Anwendungen des Nutzers in einer Liste sammeln und mit den Gerätedaten des Opfers an einen C&C-Server senden, um dann die Banken-Anwendungen auszuführen.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.06.2021
IoT-Geräte im Gesundheitswesen: Check Point warnt vor Zunahme von Angriffen

cp<r> CHECK POINT RESEARCH, Israel Wernik & Bohdan Melnykov, 29.09.2021
PixStealer: a new wave of Android banking Trojans abusing Accessibility Services

[datensicherheit.de, 10.08.2020] Der Banking-Trojaner Emotet ist offensichtlich nach längerer Pause zurück und schießt nach Erkenntnissen der Sicherheitsforscher von Check Point „sofort hoch auf den ersten Platz“ – dahinter reihten sich „AgentTesla“ und „Dridex“ ein. Der „Global Threat Impact Index“ und die „ThreatCloud Map“ von Check Point basierten auf der eigenen „ThreatCloud Intelligence“, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefere. Die „ThreatCloud“-Datenbank analysiere täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziere mehr als 250 Millionen Malware-Aktivitäten.

Foto: Check Point

Foto: kaspersky
Maya Horowitz: Angestellte dürfen keinesfalls blindlings E-Mail-Anhänge öffnen oder auf Links aus externen Quellen klicken!

Emotet verbeitet Malspam-Kampagnen

Seit Februar 2020 hätten sich die Aktivitäten von „Emotet“ – hauptsächlich das wellenartige Versenden von Malware-Kampagnen – verringert und schließlich völlig aufgehört. Nun aber, im Juli 2020, hätten sie wieder enorm zugenommen und deutsche Unternehmen hart getroffen.
Hauptsächlich habe dieser Schädling sogenannte Malspam-Kampagnen verbreitet, um die Malwares „Trickbot“ und „Qbot“ auszuliefern. Beide seien auf Bankdaten spezialisiert und könnten sich in Netzwerken auch hin und her bewegen.

Emotet versteckt sich in Word-Anhängen von E-Mails

Viele der betrügerischen E-Mails enthielten infizierte „Word“-Dokumente, welche bei Öffnung eine PowerShell ausführten, um die „Emotet“-Datenbanken und Programmteile herunterzuladen.
Die attackierten Rechner würden dann automatisch dem riesigen Bot-Netz hinzugefügt. Ähnliches habe bereits 2019 beobachtet werden können: „Das Bot-Netz ging damals über den Sommer vom Netz um gewartet und verbessert zu werden. Im September kam ,Emotet‘ mit Wucht zurück.“

Emotet-Entwickler haben offenbar seine Funktionen und Fähigkeiten erneut aktualisiert

„Es ist interessant, dass ,Emotet‘ Anfang dieses Jahres für einige Monate ruhte und damit ein Muster wiederholte, das wir erstmals 2019 beobachtet hatten. Wir können davon ausgehen, dass die Entwickler hinter dem Bot-Netz seine Funktionen und Fähigkeiten erneut aktualisiert haben“, so Maya Horowitz, „Head of Cyber Research and Threat Intelligence“ bei Check Point Software Technologies.
Da „Emotet“ nun wieder aktiv sei, sollten Organisationen ihre Mitarbeiter darüber aufklären, „wie sie die Arten von Malspam erkennen können, auf die sich das Bot-Netz derzeit spezialisiert hat“. Die Angestellten dürften keinesfalls blindlings E-Mail-Anhänge öffnen oder auf Links aus externen Quellen klicken. Unternehmen sollten auch den Einsatz von Anti-Malware-Lösungen in Betracht ziehen, die verhindern könnten, „dass solche Inhalte die Endbenutzer erreichen – besonders wenn es darum geht, Zero-Day-Attacken zu blockieren“.

Malware für Deutschland: Die Top 3 im Juli 2020

Die Pfeile beziehen sich laut Check Point auf die Änderung der Platzierung gegenüber dem Vormonat.

1. ↑ Emotet
   „Emotet“ gilt als ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er sei früher als Banking-Trojaner eingesetzt worden, diene jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt demnach verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich könne er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. ↓ AgentTesla
   „AgentTesla“ ist „ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert“. Er sei in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehörten (einschließlich „Google Chrome“, „Mozilla Firefox“ und „Microsoft Outlook E-Mail-Client“). „AgentTesla“ sei als RAT verkauft worden, „wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten“.
3. ↓ Dridex
   „Dridex“ sei ein Banking-Trojaner, der auf „Windows“-Systeme ziele und von Spam-Kampagnen und „Exploit Kits“ verbreitet werde. Diese nutzen „WebInjects“, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. „Dridex“ kontaktiere einen Remote-Server, sende Informationen über das infizierte System und könne zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

Mobile Malware für Deutschland: Die Top 3 im Juli 2020

Die Spitze habe „xhelper“ zurückerobert und verweise den Neueinsteiger „Necro“ auf Rang 2. An dritter Stelle steht mit „PreAMo“ ebenfalls ein neuer „Gast“.

1. ↑ xhelper
   Eine bösartige „Android“-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet werde. Sie sei in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
2. ↓ Necro
   „Necro“ sei ein „Android Trojan Dropper“. Er könne andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, „weil er kostenpflichtige Abonnements berechnet“.
3. ↑ PreAMo
   Diese Mobile Malware imitiere den Nutzer und klicke in seinem Namen auf Werbebanner, die über drei Agenturen ausgeliefert würden: „Presage“, „Admob“ und „Mopub“.

Schwachstellen für Deutschland: Die Top 3 im Juli 2020

Die Schwachstelle „MVPower DVR Remote Code Execution“ stehe nun an der Spitze und betreffe 44 Prozent der Unternehmen weltweit. Auf Platz zwei rutsche „OpenSSL TLS DTLS Heartbeat Information Disclosure“ (CVE-2014-0160; CVE-2014-0346) in der Rangliste der weltweit größten Schwachstellen mit 42 Prozent. Den dritten Platz erringe „Command Injection Over HTTP Payload“ (CVE-2020-8515) mit 38 Prozent.

1. ↑ MVPower DVR Remote Code Execution
   Ein Einfallstor entstehe bei der Ausführung von Remote-Code in „MVPower DVR“-Geräten. Ein Angreifer könne dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
2. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)
   Eine Schwachstelle zur Offenlegung von Informationen, die in „OpenSSL“ aufgrund eines Fehlers beim Umgang mit „TLS/DTLS-Heartbeat“-Paketen bestehe. Ein Angreifer könne diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
3. ↑ Command Injection Over HTTP Payload (CVE-2020-8515)
   Ein Angreifer könne diese Lücke ausnutzen, „indem er eine speziell gestaltete Anfrage an das Opfer sendet“. Eine erfolgreiche Ausnutzung würde es dem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD
Check Point Blog / July‘s Most Wanted Malware: Emotet Strikes Again After Five-Month Absence

datensicherheit.de, 02.08.2020
Emotet: Insbesondere USA und GB im Visier / Offensichtlich ist Emotet nach fünfmonatiger Pause zurück

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

datensicherheit.de, 23.07.2020
Emotet droht: BKA warnt vor neuer Spamwelle / Wiederauftauchen der „grauen Eminenz der Malware“ – weiterentwickelter Emotet

[datensicherheit.de, 14.07.2020] Die vier komplexen Banking-Malware-Familien „Guildma“, „Javali“, „Melcoz“ und „Grandoreiro“ – auch bekannt als sogenannte Tetrade – hätten nun auch Nutzer in Nordamerika, Lateinamerika und Europa im Visier. „Brasilianer gelten nicht nur im Fußball, sondern auch in der Cybercrime-Szene als kreativ“, so kaspersky anlässlich einer aktuellen Analyse, wonach brasilianische Cyber-Kriminelle derzeit ihre Schadprogramme außerhalb des eigenen Landes verbreiten. Sie setzten eine Vielzahl neuer Techniken ein, um einer Entdeckung durch Anti-Viren-Programme zu entgehen. Unter anderem ließen sie die Kommunikation mit dem Kontrollserver über ein verschlüsseltes Format auf legitimen Webseiten von Drittanbietern wie „facebook“- und „YouTube“-Seiten laufen.

Tetrade: 4 Familien haben es 2020 geschafft, Opfer weltweit ins Visier zu nehmen

Brasilien sei seit Langem ein Hotspot für Banking-Trojaner – eine Malware-Art, welche Anmeldeinformationen für E-Payment- und Online-Banking-Systeme stehle. In der Vergangenheit hätten sich brasilianische Cyber-Kriminelle insbesondere gegen Kunden lokaler Finanzinstitute gerichtet.
Dies habe sich Anfang des Jahres 2011 geändert, als einige Gruppen damit angefangen hätten, ihre Trojaner auch im Ausland zu verbreiten – jedoch noch mit begrenztem Erfolg. Vier Familien, bekannt als „Tetrade“, hätten es nun im Jahr 2020 geschafft, Opfer weltweit ins Visier zu nehmen.

Tetrade: z.B. Malware-Familie Guildma

Die Malware-Familie „Guildma“ sei seit dem Jahr 2015 aktiv und werde überwiegend über Phishing-Mails verbreitet, welche als Geschäftskommunikation oder Benachrichtigungen getarnt seien. Seit der Entdeckung habe „Guildma“ mehrere neue Ausweichtechniken erworben, um einer Entdeckung zu entgehen. Seit dem Jahr 2019 verberge „Guildma“ zudem die eigene böswillige Nutzlast im System des Opfers mithilfe eines speziellen Dateiformats.
Darüber hinaus speichere „Guildma“ die Kommunikation mit dem Kontrollserver in einem verschlüsselten Format auf „facebook“- und „YouTube“-Seiten. Infolgedessen sei der Kommunikationsverkehr nur schwer als schädlich zu erkennen, da Virenschutzprogramme diese Webseiten nicht blockierten und Steuerungsserver Befehle ohne Unterbrechung ausführen könnten. „War Jahr 2015 ,Guildma‘ ausschließlich in Brasilien aktiv, hat er sich mittlerweile in Südamerika, den USA, Deutschland sowie in Portugal und Spanien ausgebreitet.“

Tetrade: z.B. Malware-Familien Javali und Melcoz

Ein weiterer lokaler Banking-Trojaner namens „Javali“ sei seit dem Jahr 2017 aktiv und richte sich gegen Bankkunden in Mexiko (kaspersky hat nach eigenen Angaben ein paar wenige Opfer auch in Deutschland ausgemacht). Wie „Guildma“ werde er über Phishing-Mails verbreitet und nutze „YouTube“, um seine C2-Kommunikation zu hosten.
Die dritte Familie, „Melcoz“, sei seit dem Jahr 2018 aktiv und habe sich seitdem in Ländern wie Mexiko und Spanien ausgeweitet. Ein paar wenige Infektionen habe kaspersky auch in Deutschland erkannt.

Tetrade: z.B. Malware-Familie Grandoreiro

„Grandoreiro“ habe zunächst Nutzer in Lateinamerika im Visier gehabt, bevor der Schädling in die USA und europäische Länder (kaspersky habe ein paar wenige auch in Deutschland ausgemacht) expandiert habe. Von den vier „Tetrade“-Familien sei er am weitesten verbreitet, seit dem Jahr 2016 aktiv und folge einem „Malware-as-a-Service“-Geschäftsmodell:
Verschiedene Cyber-Kriminelle könnten Zugriff auf die erforderlichen Tools erwerben, um einen Angriff zu starten. Diese Familie werde über kompromittierte Webseiten sowie über Spear-Phishing verbreitet. Wie „Guildma“ und „Javali“ verberge es seine C2-Kommunikation auf legitimen Webseiten von Drittanbietern.

Tetrade: Cyber-Kriminelle rekrutieren Partner in anderen Ländern zur Verbreitung

„Brasilianische Cyber-Kriminelle, wie die hinter diesen vier Banking-Malware-Familien, rekrutieren aktiv Partner in anderen Ländern, um ihre Malware weltweit erfolgreich zu verbreiten“, erläutert Dmitry Bestuzhev, Leiter von GReAT, Lateinamerika. Darüber hinaus entwickelten sie sich ständig weiter und fügten neue Tricks und Techniken hinzu, um ihre schädlichen Aktivitäten zu verbergen und ihre Angriffe lukrativer zu gestalten.
Bestuzhev: „Wir erwarten, dass diese vier Banking-Malware-Familien weitere Länder angreifen – und zudem neue Familien auftauchen werden. Daher ist es wichtig, dass Finanzinstitute diese Bedrohungen genau überwachen und Maßnahmen zur Verbesserung ihrer Betrugsbekämpfungsmöglichkeiten ergreifen.“

kaspersky-Empfehlung zum Schutz vor Banking-Malware wie z.B. Tetrade:

• Das SOC-Team (Security Operation Center) eines Finanzinstituts sollte Zugriff auf die neueste „Threat Intelligence“ haben, um über neue und aufkommende Tools, Techniken und Taktiken auf dem Laufenden zu bleiben, die von Bedrohungsakteuren und Cyber-Kkriminellen verwendet werden. Beispielsweise enthält „Kaspersky Financial Threat Intelligence Reporting“ IoCs (Indicators of Compromise), Yara-Regeln und Hashes für diese Bedrohungen.
• Zudem sollten Kunden über mögliche Tricks der Cyber-Kriminellen informiert werden. Kunden sollten dabei regelmäßig Informationen darüber erhalten, wie sie Betrug im Banking-Bereich erkennen und sich in dieser Situation verhalten sollten.
• Eine zuverlässige Anti-Fraud-Lösung (wie z.B. „Kaspersky Fraud Prevention“) implementieren, die auch komplexe Betrugsfälle erkennt. Eine solche Lösung erkennt nicht nur schädliche Versuche wie „JavaScript“-Injection, versteckte Remote-Administration-Tools-Verbindung oder Webseiten-Nutzung in der Anfangsphase von Gelddiebstahl, sondern kann auch verdächtiges Verhalten in Konten identifizieren.

Weitere Informationen zum Thema:

kaspersky SECURELIST, 14.07.2020
Malware descriptions / The Tetrade: Brazilian banking malware goes global

kaspersky
Service / Kaspersky Threat Intelligence

kaspersky
LÖSUNG / Kaspersky Fraud Prevention

datensicherheit.de, 27.05.2019
Banking-Malware: Anstieg um 61 Prozent

[datensicherheit.de, 24.05.2020] Die Banking-Malware ZLoader ist unter Cybersicherheitsexperten ein alter Bekannter. Bereits seit 2006 existiert diese Abwandlung der berüchtigten Zeus-Banking-Malware. Vor allem trieb die Schadsoftware zwischen 2016 und 2018 auf der ganzen Welt ihr Unwesen. In der Folge beruhigte sich die Lage – bis jetzt!

Neue Variante von ZLoader seit Dezember 2019 gesichtet

Die Cybersicherheitsforscher von Proofpoint beobachten seit vergangenem Dezember eine neue Variante von ZLoader, die analog zur ursprünglichen Schadsoftware Webinjects nutzt, um Zugangsdaten und andere private Informationen von Kunden bestimmter Banken zu stehlen. Seit Anfang 2020 konnte Proofpoint bereits über 100 Kampagnen mit der neuen Version von ZLoader beobachten, bei denen Empfänger in Deutschland, den Vereinigten Staaten, Kanada, Polen und Australien zum Ziel von Cyberkriminellen wurden. Die Angreifer versendeten hierzu E-Mails mit verschiedenen Ködern, um ihre potenziellen Opfer in die Falle zu locken. Darunter finden sich Tipps zur Verhinderung von Betrug in Zusammenhang mit dem grassierenden Coronavirus, COVID-19-Tests sowie Rechnungen.

Malware stiehlt Passwörtern und Cookie

Zu den Funktionen der Malware zählt darüber hinaus der Diebstahl von Passwörtern und Cookies, die in den Browsern der Opfer gespeichert sind. Mittels der erbeuteten Informationen ist die Malware in der Lage, einen nachgeladenen VNC-Client (Virtual Network Computing) einzusetzen, um über das legitime Endgerät des Bankkunden illegale Finanztransaktionen durchzuführen.

Bei der Analyse der neuen Variante stellten die Sicherheitsexperten fest, dass dieser wichtige Funktionen der ursprünglichen Malware fehlen. So verzichtet die neue Schadsoftwarevariante auf Code-Verschleierung, String Encryption und einige weitere wichtige Elemente des ursprünglichen ZLoader. Proofpoint geht daher davon aus, dass es sich bei der neuen Modifikation nicht um eine Weiterentwicklung der 2018er Variante handelt, sondern sie vermutlich eine Sonderform einer früheren Version darstellt.

Weitere Informationen zum Thema:

Proofpoint
ZLoader Loads Again: New ZLoader Variant Returns

datensicherheit.de, 27.05.2019
Banking-Malware: Anstieg um 61 Prozent

[datensicherheit.de, 15.02.2020] Am 14. Februar 2020 hat kaspersky nach eigenen Angaben eine Analyse über eine neue Version des ,Ginp‘-Banking-Trojaners veröffentlicht. Dieser stiehlt demnach „sensible Finanzinformationen seiner Opfer über gefälschte SMS“.

Höchst unkonventionelle Funktion zum Einblenden gefälschter Textnachrichten

kaspersky-Experten hätten eine neue Version des erstmals im Jahr 2019 entdeckten „Ginp“-Banking-Trojaners identifiziert. Die speziell auf „Android“ ausgerichtete Schadsoftware beinhaltet nun – neben den Standardfunktionalitäten wie das Abfangen und Versenden von SMS sowie das Einblenden von Bildschirm-Overlays – „auch eine höchst unkonventionelle Funktion zum Einblenden von gefälschten Textnachrichten innerhalb der Inbox regulärer SMS-Apps“.

Nutzer werden aufgefordert, App eines vermeintlichen Anbieters zu öffnen

Diese Nachrichten würden „unter dem Deckmantel seriöser Anbieter angezeigt“, welche den Nutzer über scheinbar unerwünschte Ereignisse, wie zum Beispiel einen blockierten Zugriff auf das eigene Konto, informierten. Um dies zu verhindern, werde der Nutzer dazu aufgefordert, die App des vermeintlichen Anbieters zu öffnen. Sobald die Opfer der Aufforderung nachkommen, überlagert der Trojaner laut kaspersky das ursprüngliche Fenster mit einem eigenen Fenster „und fordert den Nutzer dazu auf, Kreditkarten- oder Bankkontendetails einzugeben“. Diese Zahlungsdetails würden direkt an die Cyber-Kriminellen weitergegeben.

Besorgniserregende Weiterentwicklung

„,Ginp‘ ist einfach, aber effizient und effektiv. Die Geschwindigkeit, mit der sich das Schadprogramm weiterentwickelt und neue Fähigkeiten erwirbt, ist besorgniserregend“, warnt Alexander Eremin, Sicherheitsexperte bei kaspersky. Während dieser Angriff bisher nur in Spanien zu beobachten gewesen sei, „befürchten wir aufgrund unserer früheren Erfahrungen, dass dieser Trojaner schon bald auch in weiteren Ländern aktiv sein könnte“. „Android“-Nutzer müssten definitiv wachsam sein.

kaspersky empfiehlt folgende Maßnahmen

Um das Risiko einer Kompromittierung durch „Ginp“ oder andere Banking-Trojaner zu minimieren, empfiehlt kaspersky folgende Maßnahmen:

• Apps nur aus dem offiziellen „Google Play Store“ herunterladen.
• Auf die von Apps angeforderten Zugriffsrechte achten (sie sollten zum Beispiel niemals nach dem Zugriff auf SMS fragen).
• Eine zuverlässige Antivirenlösung auf dem Smartphone (wie z.B. „Kaspersky Antivirus“ und „Security for Android“) installieren.

Weitere Informationen zum Thema:

kaspersky daily, 14.02.2020
android / Ginp mobile Trojan fakes incoming SMS messages

datensicherheit.de, 14.05.2019
Trickbot: Cyber-Kriminelle setzen auf bewährten Banking-Trojaner

datensicherheit.de, 08.03.2019
Banking-Trojaner: Zahl der Opfer 2018 um 16 Prozent gestiegen

[datensicherheit.de, 27.01.2020] Zu einer aktuellen „Trojaner-Welle“ bezieht Carl Wearn, „Head of E-Crime & Cyber Investigations“ bei Mimecast, Stellung. Demnach werden zurzeit in Deutschland „vermehrt E-Mails versandt, bei denen es sich scheinbar um legitime Geschäfts-E-Mails handelt“. Im Anhang befindet sich laut Mimecast ein per Passwort geschütztes ZIP-Archiv – meistens „111“, „333“ oder „555“. Gibt der Empfänger das  betreffende Passwort ein, welches sich im Nachrichtentext befindet, hat er demnach „Zugriff auf ein ausführbares Word-Dokument“.

Foto: Mimecast

Carl Wearn: Unternehmen sollten ihre Mitarbeiter im Umgang mit potenziell gefährlichen E-Mails schulen!

Ursnif ermöglicht Zugriff auf Login-Daten

Bei der Ausführung der im Dokument implementierten Makros werde der Banking-Trojaner „Ursnif“ heruntergeladen, „der unter anderem Login-Daten kopiert und weitergibt“, warnt Wearn. „Hinzu kommt: Viele Virenscanner übersehen die Gefahr, die in den Dokumenten steckt und schlagen keinen Alarm.“
Besonders gefährlich an der aktuellen Spam-Welle sei die Qualität beziehungsweise Authentizität der E-Mails. Oft stammten sie vorgeblich von Mitarbeitern des Empfängers und bezögen sich auf aktuelle Ereignisse in der Firma. Hierzu hätten die Absender vorher Firmen-Websites und Social-Media-Kanäle auf verwertbare Informationen hin untersucht, mit denen sie ihre Mails authentisch aussehen lassen könnten.

Ursnif erzwingt Unterweisung und Prävention

„Um sich vor solchen und ähnlichen Vorfällen in Zukunft zu schützen, sollten Unternehmen ihre Mitarbeiter im Umgang mit potenziell gefährlichen E-Mails schulen“, rät Wearn. Hierbei könne schon ein Leitfaden helfen, „der beschreibt, was beim Erhalt solcher Mails zu tun ist“.
Darüber hinaus sei die Implementierung einer effektiven E-Mail-Sicherheit eine wirksame Gegenmaßnahme – diese filtere im Vorfeld verdächtige E-Mails heraus, markiere diese und verringere somit das Risiko einer Kompromittierung. Einige Lösungen wandelten zum Beispiel sämtliche Dokumente im E-Mail-Anhang ins PDF-Format um, so dass eine Aktivierung von Makros erst gar nicht möglich sei.

Falsche und legitime E-Mails nicht mehr auseinanderhalten

„Die immer besser werdende Qualität von Spam- und Phishing-Mails stellt für die Sicherheit von Unternehmen eine große Herausforderung dar.“ Vorfälle wie diese würden in Zukunft nicht nur häufiger werden, ihre Qualität werde auch immer besser, so dass selbst geübte Augen falsche und legitime E-Mails nicht mehr auseinanderhalten werden könnten, so Wearn.
„Firmen sollten sich daher mit Lösungen zum E-Mail-Schutz auseinandersetzen. Zuvor gilt es allerdings, Mitarbeiter für die Gefahren, die in solchen Mails lauern, zu sensibilisieren.“ Hiermit könne ein Großteil der Bedrohungen, die im Geschäftsalltag auf sie zukommen, im Vorhinein verhindert werden.

Weitere Informationen zum Thema:

SANS ISC InfoSec Forums
German language malspam pushes Ursnif

[datensicherheit.de, 27.05.2019] Laut dem Quartalsreport 1/2019 aus dem Hause KASPERYK lab hat die Anzahl der im Umlauf befindlichen mobilen Banking-Malware zugenommen – am gefährlichsten sei derzeit der„Asacub“-Trojaner.

70% der Deutschen nutzen Online-Banking

Sieben von zehn Deutschen nutzen nach Erkenntnissen des Branchenverbands Bitkom inzwischen Online-Banking – die Nutzer sollten aber gerade bei Bankangelegenheiten Vorsicht walten lassen, denn die Sicherheitsexperten aus dem Hause KASPERSKY lab haben nach eigenen Angaben im ersten Quartal 2019 ein verstärktes Auftreten von Malware verzeichnet, die es auf Anmeldeinformationen und Geld von Bankkonten abgesehen hat:
So seien 29.841 schädliche Dateien im Vergleich zu 18.501 Dateien im Vorquartal registriert worden. Insgesamt hätten die Lösungen von KASPERSKY lab zwischen Januar und Februar 2019 Banking-Attacken gegen 312.235 Nutzer weltweit blockiert.

Malware sieht wie eine legitime App aus

Die mobile Form der Banking-Trojaner sei eine der sich am schnellsten weiterentwickelnden, flexibelsten und gefährlichsten Art der Malware. In der Regel würden Geldsummen direkt vom Bankkonto eines mobilen Nutzers entwendet; manchmal würden aber auch andere Zwecke verfolgt, wie etwa das Stehlen von Anmeldeinformationen.
Die Malware sehe dabei normalerweise wie eine legitime App aus – beispielsweise von einem Bankinstitut. Versucht ein Opfer, auf die echte Banking-App zuzugreifen, erhielten jedoch auch die Angreifer Zugriff. Im vierten Quartal 2018 hätten mobile Banking-Trojaner 1,85 Prozent aller mobilen Malware ausgemacht, im ersten Quartal 2019 habe ihr Anteil 3,24 Prozent erreicht.

„Asacub“: Fast 60% aller Banking-Trojaner-Attacken

Im Untersuchungszeitraum sei vor allem eine neue Version der mobilen Malware „Asacub“ aktiv gewesen. Über die Hälfte (58,4 Prozent) aller Banking-Trojaner-Attacken gingen auf das Konto dieses Trojaners. Der mobile Schädling sei erstmalig im Jahr 2015 aufgetaucht. Seine Verbreitungsmethode sei im Verlauf der folgenden zwei Jahre stetig optimiert worden, so dass im Jahr 2018 ein Höhepunkt mit täglich 13.000 attackierten Nutzern verzeichnet worden sei. Im ersten Quartal 2019 habe „Asacub“ durchschnittlich 8.200 User pro Tag attackiert.
„Das schnelle Wachstum mobiler Banking-Malware ist besorgniserregend, zumal wir sehen, wie Cyber-Kriminelle ihre Verbreitungsmethoden optimieren“, kommentiert Victor Chebyshev, Sicherheitsexperte bei Kaspersky Lab. „In jüngster Zeit ist beispielsweise die Tendenz zu beobachten, dass Banking-Trojaner in Droppern versteckt werden; einer Art ,Hülse‘ für die Malware, die unter dem Sicherheitsradar des Gerätes bleibt, und den böswilligen Teil erst bei Ankunft aktiviert.“

Sicherheitsempfehlungen von KASPERSKY lab:

Um das Risiko einer Infektion mit Banking-Trojanern zu reduzieren, sollten Nutzer:

• Anwendungen nur von vertrauenswürdigen Quellen wie dem offiziellen „App Store“ herunterladen und installieren;
• von der App angeforderte Berechtigungen sorgfältig prüfen (sollten diese nicht der Aufgabe der App entsprechen, kann das ein Zeichen für eine schädliche App sein);
• eine mobile Sicherheitslösung verwenden (wie z.B. „Kaspersky Internet Security for Android“);
• nicht auf Links in verdächtigen E-Mails klicken oder darin befindliche Anhänge öffnen;
• das Gerät nicht „rooten“, da dies Cyber-Kriminellen unbegrenzte Zugriffsmöglichkeiten auf das Gerät bietet.

Weitere Informationen zum Thema:

bitkom, 21.05.2019
Beim Online-Banking sind nur noch Senioren zurückhaltend

KASPERSKY lab, 23.05.2019
IT threat evolution Q1 2019. Statistics

KASPERSKY lab, 28.08.2018
The rise of mobile banker Asacub

datensicherheit.de, 28.02.2019
Banking-Malware Qbot/Qakbot: Sicherheitsforscher identifizieren neue gefährliche Variante

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner

datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen

[datensicherheit.de, 14.05.2019] Nach eigenen Angaben bestätigen Sicherheitsforscher aus dem Hause Check Point die Rückkehr von „Trickbot“ – einem Mehrzweck-Banking-Trojaner. Außerdem rückt laut Check Point mit „Pony“ ein weiterer Info-Stealer auf Platz 3 vor.

Trickbot: Bankdaten sammeln und Steuerdokumente stehlen

Die Check Point® Software Technologies Ltd. hat den neuesten „Global Threat Index“ für April 2019 veröffentlicht. Nach vielen Monaten verlieren demnach Ransomware und Kryptominer erstmals an Boden, denn der Banking-Trojaner „Trickbot“ sei nach fast zwei Jahren zurück unter den obersten Drei des Index.
Mehrzweck-Banking-Trojaner wie „Trickbot“ seien eine „beliebte Wahl aller Cyber-Kriminellen, die auf große Geldgewinne hoffen“. „Trickbot“-Einsätze hätten im April 2019 stark zugenommen, angeführt von einer Spam-Kampagne zum „US-amerikanischen Steuertag“, der mit der Frist für die Einkommensteuererklärung in den Vereinigten Staaten zusammenfalle. In Spam-Nachrichten seien „Excel“-Dokumente als Dateianhänge verbreitet worden, hinter denen sich „Trickbot“ versteckt habe, um auf die Computer der Opfer heruntergeladen zu werden. Kaum geschehen, habe sich der Banking-Trojaner über Netzwerke verbreitet, um Bankdaten zu sammeln und Steuerdokumente für betrügerische Zwecke zu stehlen.

Pony: Info-Stealer in Top 3 aufgestiegen

Diese Rückkehr des eigentlich sehr alten Banking-Trojaners „Trickbot“ verdeutliche die Verlagerung der Taktiken, mit denen Kriminelle ihre finanziellen Erträge aus Kampagnen maximierten: Mehrere beliebte Kryptomining-Dienste seien vom Netz gegangen und die Werte von Kryptowährungen im vergangenen Jahr, 2018, stetig gesunken. Nun griffen die Kriminellen wieder auf bewährte Methoden zurück.
Neben „Trickbot“, der es auf die Bankkonten abgesehen habe, steige mit „Pony“ passenderweise ein Info-Stealer in die Top 3 auf. Auch dieser sei sehr alt und erfahre nun eine Wiederbelebung durch Internet-Kriminelle, um Nutzerdaten und Zugangsinformationen zu stehlen, oder sogar von Rechner zu Rechner zu hüpfen, um ein Botnetz anzulegen.

Verbreitung der „Ryuk“-Ransomware

Maya Horowitz, „Threat Intelligence and Research Director“ bei Check Point, kommentiert: „In diesem Monat haben es sowohl ,Trickbot‘ als auch der Dauerbrenner ,Emotet‘ unter die Top 3 der Malware-Liste geschafft.“ Dies sei besonders beunruhigend, da beide Botnets heutzutage nicht nur zum Stehlen privater Daten und Zugangsinformationen, sondern auch zur Verbreitung der „Ryuk“-Ransomware verwendet würden.
„Ryuk“ sei bekannt dafür, dass er auf Vermögenswerte wie Datenbanken und Backup-Server ziele und ein Lösegeld bis über einer Million US-Dollar verlange. „Da sich diese Malware ständig weiterentwickelt, ist es wichtig, eine robuste Verteidigungslinie gegen sie aufzubauen, die eine fortschrittliche Bedrohungsabwehr bietet“, so Horowitz.

Top 3 „Most Wanted Malware“ im April 2019 lt. Check Point:

„Emotet“ – ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Früher als Banking-Trojaner eingesetzt, dient er derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.

↑ „Trickbot“ – ist eine „Dyre“-Variante, seit Oktober 2016 auf dem Markt. Seitdem hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor Kurzem gerieten auch Indien, Singapur und Malaysia ins Visier, nun folgt Deutschland.

↑ „Pony“ – ein Info-Stealer, in erster Linie entwickelt, um Benutzerdaten von infizierten „Windows“-Plattformen zu stehlen und sie an einen C&C-Server zurückzusenden. Auch bekannt als „Pony Stealer“, „Pony Loader“, „FareIT“ u.a. „Pony“ gibt es seit 2011 und bis uns Jahr 2013 wurde der Quellcode öffentlich gemacht, so dass sich dezentrale Versionen entwickeln konnten. Die vielfältigen Funktionen ermöglichen es Angreifern nicht nur, System- und Netzwerkaktivitäten zu überwachen oder zusätzliche Malware herunterzuladen und zu installieren, sondern auch weitere Rechner zu infizieren, um ein Botnet anzulegen. Aufgrund seiner dezentralen Struktur wurde „Pony“ hinter zahlreichen, unterschiedlichen Angriffsvektoren erkannt.

Die am häufigsten ausgenutzten Cyber-Schwachstellen analysiert

Die Sicherheitsforscher von Check Point hätten auch die am häufigsten ausgenutzten Cyber-Schwachstellen analysiert. „OpenSSL TLS DTLS Heartbeat Information Disclosure Exploits“ liege vorne mit einer globalen Auswirkung auf 44 Prozent der Unternehmen.
Zum ersten Mal nach zwölf Monaten sei „Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow“ (CVE-2017-7269) vom ersten Platz abgefallen, habe aber stattliche 40 Prozent der Unternehmen betroffen, gefolgt vom Neuling „Apache Struts2 Content-Type Remote Code Execution“ (CVE-2017-5638) mit einem globalen Einfluss von 38 Prozent der Unternehmen auf der ganzen Welt.

Top 3 „Most Exploited“-Schwachstellen im März 2019 lt. Check Point:

↑ „OpenSSL TLS DTLS Heartbeat Information Disclosure“ (CVE-2014-0160; CVE-2014-0346) – eine Schwachstelle zur Offenlegung von Informationen, die in „OpenSSL“ aufgrund eines Fehlers beim Umgang mit „TLS/DTLS-Heartbeat“-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

↓ „Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow“ (CVE-2017-7269): Durch das Senden einer Anforderung über ein Netzwerk an den „Microsoft Windows Server 2003 R2“ und über die „Microsoft Internet Information Services 6.0“ kann ein Angreifer von außen einen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Schwachstelle im Puffer-Overflow zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.

↑ „Apache Struts2 Content-Type Remote Code Execution“ (CVE-2017-5638) – in den „Apache Struts2“ mit „Jakarta Multipart Parser“ besteht eine Sicherheitslücke bei der Ausführung von Remote-Code. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen ungültigen Inhaltstyp als Teil einer Datei-Upload-Anfrage sendet. Eine erfolgreiche Ausnutzung kann zur Ausführung von beliebigem Code auf dem betroffenen System führen.

„ThreatCloud Intelligence“ zur Bekämpfung der Cyber-Kriminalität

Der „Global Threat Impact Index“ und die „ThreatCloud Map“ von Check Point basierten auf der „ThreatCloud Intelligence“ von Check Point, „dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität“, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefere.
Die „ThreatCloud“-Datenbank enthält laut Check Point über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als elf Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziere es täglich mehrere Millionen von Malware-Typen.

© Check Point

Maya Horowitz: Sowohl „Trickbot“ als auch der Dauerbrenner „Emotet“ unter die Top 3 der Malware-Liste

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner