Von unserem Gastautor Chris Carlson, VP Product and Technology bei Qualys

[datensicherheit.de, 28.04.2020] Cyberkriminelle machen sich gern Großereignisse und aufsehenerregende Nachrichten zunutze, die Millionen von Menschen interessieren, um Malware leicht und effektiv an den Mann zu bringen. So nutzten sie in der Vergangenheit schon Themen wie internationale Sportwettkämpfe, Promi-Scheidungen oder Wahlen als Vehikel zur Verbreitung von Schadprogrammen.

Die Coronavirus-Pandemie (COVID-19) ist der jüngste Aufhänger für solche Angriffe. Die Krise schafft ideale Bedingungen für eine großflächige Verbreitung von Malware: eine riesige Angriffsfläche, die sowohl Unternehmen als auch private Nutzer umfasst, Angst und Unsicherheit wegen der Auswirkungen des Virus und eine verstärkte Nutzung von sozialen Medien und direkter elektronischer Kommunikation, um Neuigkeiten, Informationen und Meinungen zu verbreiten.

In der vergangenen Woche machte sich ein neuer Malware-Angriff diese Situation zunutze. Eine Gruppe von Cyberkriminellen entwickelte eine gefälschte Corona-Map-Anwendung für Windows, in die Malware zum Datendiebstahl eingebettet ist. Sobald ein Benutzer die Anwendung heruntergeladen und installiert hat, beginnt sie, sensible Daten wie Passwörter, Kreditkartennummern, Bankkontendaten und andere sensible Informationen zu sammeln und zu senden.

Bild: Qualys

Chris Carlson, VP Product and Technology bei Qualys

Dieser Angriff, der erstmals von Forschern bei Reason Labs beschrieben wurde, basiert auf einer Variante der Malware-Familie Azorult, die in die Corona-Map-Anwendung integriert ist und ausgeführt wird. Wenn diese Malware-Kampagne erfolgreich ist, steht zu erwarten, dass weitere Varianten der Schadsoftware auftauchen und neben der gefälschten Corona-Map-Anwendung auch noch andere Auslieferungsmethoden entwickelt werden.

Antiviren-Engines mit Einzelerkennung helfen Sicherheitsanalytikern nur begrenzt

Zum Zeitpunkt der Abfassung dieses Beitrags zeigt VirusTotal, dass viele Antiviren-Engines (58 von 70) die Corona-Map-Malware erkennen. Das ist die gute Nachricht: Die meisten kommerziellen Produkte finden diese Malware, sofern der Virenschutz auf jedem Endgerät ordnungsgemäß installiert ist, ausgeführt wird und richtig konfiguriert ist.

Das Problem bei Antiviren-Engines mit Einzelerkennung ist jedoch, dass sie die tatsächliche Bedrohung oft nur begrenzt analysieren. Die Sicherheitsanalytiker erhalten zu wenig verwertbare Informationen, um feststellen zu können, ob die Corona-Map-Malware ihr Netzwerk wirklich infiziert hat. Dies gilt insbesondere dann, wenn die Malware-Autoren den Namen der infizierten Datei ändern, um der Erkennung zu entgehen.
Die VirusTotal-Liste zeigt auch, dass einige Anbieter, die die Corona-Map-Malware erkennen können, nicht den Namen der Malware-Familie aufführen. Stattdessen beschreiben sie die Bedrohung mit ganz allgemeinen Begriffen wie „Unsafe“, „Win/malicious_confidence_100% (W)“, „Malicious“, „Heuristic“, oder „Generic.ml“.  (Siehe: )
Abgesehen von der mangelnden Beschreibung dieser spezifischen Bedrohung, die den Sicherheitsteams die Feststellung erschwert, ob Systeme kompromittiert wurden, ist es mit solchen Lösungen oft auch nicht möglich, den Corona Map Malware-Angriff auf Passwörter und Daten von anderen potenziell unerwünschten, aber weniger riskanten Anwendungen und Programmen zu unterscheiden, wie etwa Coupon-Toolbars. Die Zeit von Sicherheitsanalytikern ist jedoch kostbar – sie müssen sich zuallererst auf die echten Bedrohungen in ihrer IT-Umgebung konzentrieren.

Sichtbarkeit mit Erkennung von Malware-Familien

Qualys Indication of Compromise (IOC) verfolgt bei der Endpunkterkennung und -reaktion (EDR) einen Ansatz zur Erkennung von Malware-Familien, der auf Threat Intelligence basiert. Malware wird nach Bedrohungsfamilien und Bedrohungskategorien klassifiziert, um den Sicherheitsanalytikern und Incident-Respondern umfassenderen Kontext zu liefern.

Im Fall der Corona-Map-Malware erkennt und bewertet die Lösung die Malware als „bösartig“ (der Punktwert 8 bezeichnet ein Dateiereignis, das jedoch nicht als Prozess oder mit Netzwerkverbindungen ausgeführt wird) und gibt den Namen der Malware-Familie („Azorult“) sowie die Malware-Kategorie („Trojaner“) an. Dadurch können Sicherheitsanalytiker schnell alle Systeme identifizieren, die mit Azorult infiziert sind, und automatisch eine Warnung ausgeben, wenn im Netzwerk Trojaner-Malware ausgeführt wird.

Mithilfe dynamischer Dashboards und Widgets, die für alle Anwendungen von Qualys verfügbar sind, können ganz einfach Trend-Widgets erstellt werden, um alle Azorult-Infektionen im Netzwerk zu verfolgen – unabhängig von Varianten oder Hashwerten – und sie mit aktiven Abhilfemaßnahmen abzugleichen. Der nachstehende Screenshot zeigt aktive Azorult-Infektionen an, jedoch keine Abhilfemaßnahmen. In einem solchen Fall sollten die Sicherheitsanalytiker die Problembehebung priorisieren, um alle Spuren der Malware-Familie Azorult einzudämmen und zu entfernen.

Die Qualys Cloud-Plattform

Die Qualys Cloud-Plattform bietet eine kontinuierliche „Always-on“-Bewertung des Sicherheits- und Compliance-Status der gesamten Umgebung und eine sekundenschnelle Übersicht über alle IT-Assets, egal, wo sich diese befinden. Die Sensoren von Qualys lassen sich einfach bereitstellen, werden zentral verwaltet und aktualisieren sich selbst. Sie sind als physische oder virtuelle Appliances oder als schlanke Agenten für Benutzer-Endgeräte, lokale Server und Cloud-Instanzen verfügbar. Alle Dienste sind über ein Webinterface in der Cloud zugänglich – Es muss also nichts installiert oder verwaltet werden.

Weitere Informationen zum Thema:

Qualys
Qualys Cloud Platform (Free-Trial)

datensicherheit.de, 22.04.2020
Datenschutz: EDSA beschließt weitere Leitlinien zu COVID-19

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

[datensicherheit.de, 05.09.2013] Im Laufe der letzten drei Monate hat Kaspersky Lab beobachtet, wie der „Obad.a“-Trojaner, der bisher komplexeste mobile Android-Schädling, verbreitet wird. Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminelle Gruppierungen kontrolliert werden. Insgesamt wurden 83 Prozent der Infektionsversuche in Russland verzeichnet. „Obad.a“ kommt wohl hauptsächlich in den GUS-Staaten vor. Darüber hinaus  wurde er auch auf mobilen Endgeräten in der Ukraine, Weißrussland, Usbekistan und Kasachstan entdeckt.

Auffällig ist die gleichzeitige Verbreitung von verschiedenen Versionen, die über den Trojaner „SMS.AndroidOS.Opfake.a“ verteilt werden. Diese doppelte Art der Infektion beginnt mit einer SMS-Nachricht an die Nutzer, die aufgefordert werden, dem Link einer kürzlich empfangenen Nachricht zu folgen. Wenn das Opfer auf den betreffenden Link klickt, wird eine Datei mit „Opfake.a“ automatisch auf das betreffende Smartphone oder Tablet heruntergeladen.

Die schädliche Datei kann nur installiert werden, wenn der Nutzer diese auch startet. Sollte dies geschehen, sendet der Trojaner weitere Textnachrichten an die Kontakte des infizierten Gerätes. Ein Klick in diesen Nachrichten führt dazu, dass „Obad.a“ heruntergeladen wird. Es ist ein sehr ausgeklügeltes System: Ein russischer Mobilfunkanbieter meldete innerhalb von nur fünf Stunden mehr als 600 Nachrichten, die diese Links enthielten. All dies deutet auf eine großangelegte Verbreitung hin. In den meisten Fällen wurde der Schädling über ein bereits infiziertes Gerät verbreitet.

„Obad.a“-Verbreitung über Spam und illegale Seiten

Abgesehen von der Verwendung mobiler Botnetze wird dieser komplexe Trojaner auch über Spam-Nachrichten verbreitet. Typischerweise erscheint eine Warnmeldung, die den Nutzern eine unbezahlte Forderung vortäuscht und sie auffordert, einen Link aufzurufen, der „Obad.a“ automatisch auf das mobile Endgerät herunterlädt. Auch in diesem Fall müssen die Nutzer die heruntergeladene Datei starten, damit der Trojaner installiert wird.

Auch Websites, die Fake-Apps anbieten, dienen zur Verbreitung von „Backdoor.AndroidOS.Obad.a“. Sie kopieren den Inhalt der Google Play-Seiten und ersetzen die offiziellen Links durch bösartige Varianten. Es gibt auch Fälle, in denen offizielle Seiten gecrackt werden und auf gefährliche Websites verlinken. „Obad.a“ zielt ausschließlich auf die Nutzer von mobilen Endgeräten ab. Wenn potentielle Opfer die entsprechende Seite von einem Desktop-PC aus aufrufen, passiert nichts. Jedoch können Smartphones und Tablet-PCs jedes Betriebssystems zu den Fake-Seiten geleitet werden, obwohl nur eine Gefahr für Android-Nutzer besteht.

„In drei Monaten haben wir zwölf verschiedene Versionen von Backdoor.AndroidOS.Obad.a entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält. Das macht es um einiges schwerer, den Schädling zu löschen. Sofort nach der Entdeckung haben wir Google darüber informiert, worauf die Lücke in Android 4.3 geschlossen wurde. Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet. Obad.a beherbergt Exploit-Codes für insgesamt drei bislang unveröffentlichte Sicherheitslücken, und erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC Schadsoftware. Ein Trend, den wir in der Android Welt seit längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat“, sagt Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Weitere Informationen zum Thema:

securelist.com
Neueste Analyse zur Verbreitung von „Obad.a“