[datensicherheit.de, 24.06.2021] Eine aktuelle Untersuchung von Avast Threat Labs zeigt nach eigenen Angaben, „wie sich eine Malware mit dem Namen ,Crackonosh‘ derzeit weltweit verbreitet“. Dabei handele es sich um eine Kryptomining-Malware, welche die Cyber-Sicherheitsexperten in gestohlenen Kopien beliebter Online-Spiele gefunden hätten.

Crackonosh-Malware mindestens seit Juni 2018 im Umlauf

Diese Malware sei mindestens seit Juni 2018 im Umlauf und habe ihren Urhebern bereits über 2.000.000 US-Dollar in der Kryptowährung „Monero“ von über 222.000 infizierten Systemen weltweit eingebracht.
„Crackonosh“ verbreitet sich demnach über „gecrackte“ Versionen beliebter Online-Spiele. „Gecrackte Versionen sind illegale Kopien der Spiele, die Menschen herunterladen, um nicht für sie bezahlen zu müssen.“

Von Crackonosh-Malware befallene Online-Spiele laut Avast

Avast habe „Crackonosh“ in geknackten Versionen der folgenden Spiele feststellen können:

• „NBA 2K19“
• „Pro Evolution Soccer 2018“
• „Grand Theft Auto V“
• „Fallout 4 GOTY“
• „Far Cry 5“
• „The Sims 4“
• „The Sims 4 Seasons“
• „Euro Truck Simulator 2“
• „Jurassic World Evolution“
• „Call of Cthulhu“
• „We Happy Few“

Die meisten Malware-Infektionen in den USA, Brasilien, Indien, den Philippinen und Polen

„Die meisten Infektionen fanden die Cyber-Sicherheitsexperten von Avast in den Vereinigten Staaten, Brasilien, Indien, den Philippinen und Polen.“ Auch in Deutschland verbreite sich die Malware – so habe Avast hierzulande bereits 1.799 Fälle feststellen können.
„Ist die Schadsoftware erst einmal installiert, ergreift sie direkt Schutzmaßnahmen, einschließlich der Deaktivierung von ,Windows‘-Updates und der Deinstallation von Sicherheitssoftware.“

Ausführlicher Avast-Blogartikel – Crackonosh: A New Malware Distributed in Cracked Software

Der Begriff „Crackonosh“ stamme aus der tschechischen Folklore und bedeutet „Berggeist“. „Avast verwendet diesen Namen aufgrund eines Hinweises darauf, dass der Ursprung der Schadsoftware in Tschechien liegen könnte.“
Im aktuellen Blogbeitrag „Crackonosh: A New Malware Distributed in Cracked Software“ berichtet Avast ausführlich über die Ergebnisse der eigenen Untersuchung.

Weitere Informationen zum Thema:

DECODED avast.io, Daniel Beneš, 24.06.2021
Crackonosh: A New Malware Distributed in Cracked Software

[datensicherheit.de, 15.06.2019] Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd, hat seinen neuesten Global Threat Index für Mai 2019 veröffentlicht. Das Sicherheitsforschungs-Team mahnt Unternehmen, alle Systeme zu überprüfen und zu aktualisieren, die für den Microsoft RDP-Fehler „BlueKeep“ (CVE-2019-0708) unter Windows 7 und Windows Server 2008-Maschinen anfällig sind. Nur so können sie verhindern, dass der Fehler für Ransomware- und Kryptomining-Angriffe missbraucht wird.

BlueKeep-Schwachstelle betrifft fast eine Million Maschinen

Die BlueKeep-Schwachstelle betrifft fast eine Million Maschinen, die am öffentlichen Internet hängen, darunter innerhalb der Netzwerke von Unternehmen. Die Schwachstelle gilt als kritisch, da sie keine Benutzer-Interaktion erfordert, um ausgenutzt zu werden. Das Remote Desktop Protocol (RDP) ist bereits ein etablierter, beliebter Angriffsvektor, der zur Installation von Ransomware wie SamSam und Dharma verwendet wurde. Das Check Point Research-Team sieht derzeit viele Scannings, die aus mehreren Ländern stammen, Systeme auf die offene Lücke überprüfen und die erste Aufklärung vor einem Angriff sein könnten. Um dem entgegen zu wirken, bietet Check Point gegen diesen Angriff sowohl Netzwerk- als auch Endpunkt-Schutz, neben den relevanten Microsoft-Patches.

© Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point erklärt: „Die größte Bedrohung, die wir in den letzten Monaten gesehen haben, ist BlueKeep. Obwohl noch keine Angriffe zu beobachten sind, wurden mehrere, öffentliche Proof-of-Concept-Exploits entwickelt. Wir stimmen mit Microsoft und anderen Beobachtern der Branche überein, dass BlueKeep verwendet werden könnte, um Angriffe in ähnlichem Umfang der massiven WannaCry- und NotPetya-Kampagnen aus dem Jahr 2017 zu starten. Ein einzelner Computer mit diesem Fehler kann verwendet werden, um als bösartiger Ausgangspunkt zu dienen, von dem ausgehend ein ganzes Netzwerk infiziert wird. Danach können alle infizierten Computer mit Internetzugang andere anfällige Geräte auf der ganzen Welt über das Internet infizieren – so kann sich der Schädling exponentiell und unaufhaltsam ausbreiten. Daher ist es wichtig, dass Unternehmen sich selbst – und damit auch andere – schützen und den Fehler jetzt reparieren, bevor es zu spät ist.“

Die Ratschläge der Sicherheitsforscher sollten auch angesichts der drei verbreitetsten Schädlinge in Deutschland im Monat Mai befolgt werden. Emotet, der unangefochtene König, dient seit Monaten dazu, als Vorhut in Systeme eingeschleust zu werden, um dann eine Hintertür für andere Schadprogramme zu öffnen. Auf Platz zwei findet sich mit Ramnit als Neuling ein Wurm ein, der ebenfalls als Hintertür fungieren kann und sich über FTP-Server oder Wechseldatenträger verbreitet. Als drittes Programm kehrt Lokibot in die Bestenliste zurück, das auf den Diebstahl von Informationen spezialisiert ist, wie E-Mail-Konten und Passwörter. Für alle drei ist die offenliegende Schwachstelle im RDP-Service ein gefundenes Fressen.

Die Top 3 ‘Most Wanted’ Malware im Mai 2019:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

• Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
• ↑ Ramnit – Ramnit ist ein Wurm, der hauptsächlich über Wechseldatenträger und infizierte Dateien, die auf öffentliche FTP-Server hochgeladen wurden, verbreitet wird. Die Malware erstellt eine Kopie von sich selbst, um Wechseldatenträger und Festplatten zu infizieren. Ramnit fungiert auch als Hintertür.
• ↑ Lokibot – Lokibot ist ein Info Stealer, der hauptsächlich über Phishing-E-Mails vertrieben wird und Daten wie E-Mail-Konten, Passwörter für CryptoCoin-Wallets und FTP-Server, ausliest.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten ausgenutzten Cyber-Schwachstellen. OpenSSL TLS DTLS Heartbeat Information Disclosure Exploits liegt vorne mit einer globalen Auswirkung auf 44 Prozent der Unternehmen. Zum ersten Mal nach 12 Monaten fiel Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) vom ersten Platz ab, betraf aber stattliche 40 Prozent der Unternehmen, gefolgt vom Neuling Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) mit einem globalen Einfluss von 38 Prozent der Unternehmen auf der ganzen Welt.

Die Top 3 ‘Most Exploited’ Schwachstellen im Mai 2019:

Im Mai erlebten wir eine Auferstehung der traditionellen Angriffstechniken (wahrscheinlich verursacht durch die sinkende Rentabilität von Kryptominern), wobei SQL Injections-Techniken mit einem globalen Einfluss von 49 Prozent die Liste der Schwachstellen anführen. Web Server Exposed Git Repository Information Disclosure und OpenSSL TLS DTLS Heartbeat Information Disclosure belegten die Plätze zwei und drei. Sie betrafen 44 Prozent und 41 Prozent der Unternehmen auf der Welt.

• ↑  SQL Injection (verschiedene Techniken) – Einfügen einer SQL-Abfrage in die Eingabe vom Client zur Anwendung, während eine Schwachstelle in der Software einer Anwendung ausgenutzt wird.
• ↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle zur Offenlegung von Kontoinformationen wurde im Web Server Exposed Git Repository gemeldet. Der Verlust sensibler Daten geht mit einer erfolgreichen Ausnutzung der Lücke einher.
• ↓  OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.

Weitere Informationen zum Thema:

Check Point Blog
May 2019’s Most Wanted Malware: Patch Now to Avoid the BlueKeep Blues

datensicherheit.de, 14.05.2019
Trickbot: Cyber-Kriminelle setzen auf bewährten Banking-Trojaner

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner

[datensicherheit.de, 14.09.2018] Forscher des Unternehmens ESET haben entdeckt, dass Drittanbieter Add-ons der beliebten Mediaplayer-Software Kodi für eine Malware-Kampagne missbraucht wurden. Ein kürzlich wegen Urheberrechtsverletzungen abgeschaltetes Repository (XvMBC) hat – wahrscheinlich unwissentlich – seit Dezember 2017 Kryptomining-Schadsoftware verbreitet. Sowohl Windows- als auch Linux-Nutzer sollten dringend ihre Systeme scannen.

Es ist der zweite bekannte Fall, in dem über Add-ons für Kodi im großem Maßstab Malware verbreitet wurde. Die Schadsoftware verfolgt den Zweck, unbemerkt auf fremden Rechnern die Kryptowährung Monero zu schürfen. Dies macht sich vor allem am steigenden Stromverbrauch und der stark abnehmenden Leistung des Rechners bemerkbar. Die Architektur dieses Kryptominers ist allerdings so aufgebaut, dass seine endgültige Nutzlast nur schwer auf das bösartige Add-on zurückgeführt werden kann.

Auch, wenn die ursprünglichen Add-ons nicht mehr funktionsfähig sind, könnten User die Malware trotzdem noch unwissentlich auf dem System haben und betroffen sein. „Wenn Nutzerinnen und Nutzer Kodi und seine Add-ons auf einem Windows- oder Linux-Gerät verwenden, sollten sie auf Nummer Sicher gehen und ihre Systeme auf jeden Fall mit einer zuverlässigen Anti-Malware-Lösung scannen“, sagt Thomas Uhlemann, Security Specialist bei ESET. Windows-Nutzer können dafür zum Beispiel den ESET Online Scanner verwenden, Linux-Anwender können stattdessen mit der kostenlosen Testversion von ESET NOD32 Antivirus für Linux Desktop den Computer auf Kryptominer überprüfen. Diese Produkte helfen, die Bedrohungen zu erkennen, zu blockieren und zu entfernen.

Weitere Informationen zum Thema:

WeLiveSecurity
Kodi-Addons verantwortlich für Crypto-Mining Kampagne

datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen

datensicherheit.de, 07.04.2018
Illegales Krypto-Mining: Missbrauch von Fußball- und VPN-Apps als neuer Trend

datensicherheit.de, 12.01.2018
Hackerangriff auf Behörde: Ziel Krypto-Währungen schürfen