„Most Wanted“ Malware im November: Das Erwachen des Thanksgiving Day Botnets

Maya Horowitz – Copy[2][1]

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cybersicherheitslösungen, hat seinen neuesten Global Threat Index für November 2018 veröffentlicht. Der Index zeigt, dass das Botnetz von Emotet in die Top-10-Rangliste des Index aufgenommen wurde, nachdem es sich in mehreren Kampagnen verbreitet hat, darunter eine Thanksgiving-Kampagne.

Dazu gehörten Malspam-E-Mails in Form von Thanksgiving-Karten mit E-Mail-Betreffzeilen wie „Thanksgiving day wishes“, „Thanksgiving wishes“ und „the Thanksgiving day congratulation!“ Diese E-Mails enthielten bösartige Anhänge, oft mit Dateinamen im Zusammenhang mit Thanksgiving, um das Botnetz zu verbreiten und andere Malware und bösartige Kampagnen einzusetzen. Infolgedessen hat sich der globale Einfluss des Emotet Botnets gegenüber Oktober 2018 um 25 Prozent erhöht.

In der Zwischenzeit war der November der erste Jahrestag des Coinhive-Kryptominer, der den Global Threat Index seit Dezember 2017 anführt. In den letzten 12 Monaten waren allein 24 Prozent der Unternehmen weltweit von Coinhive betroffen, während Kryptomining-Malware einen globalen Gesamteinfluss von 38 Prozent hatte.

„In diesem Monat haben wir eine deutliche Zunahme der Bemühungen um die Verbreitung des Emotet Botnets beobachtet, das saisonale Nachrichten verwendet hat, um Klicks zu fördern“, sagt Maya Horowitz, Direktorin für Bedrohungsaufklärung und Forschung bei Check Point. „Einzelpersonen und Unternehmen erwarten, dass sie saisonale Nachrichten erhalten. Diese wurden genutzt, um das Botnetz von Emotet zu verbreiten, als Teil der Social Engineering-Methoden der Malware, um potenzielle Opfer dazu zu bringen, bösartige E-Mails zu öffnen. Angesichts dieser Fähigkeit, zusammen mit seiner Hartnäckigkeit und dem Einsatz von Ausweichtechniken, scheint Emotet einen erfolgreichen Monat gehabt zu haben.“

Während Coinhive nach wie vor beliebt ist und seit einem Jahr die produktivste Malware für Cyberkriminelle ist, hat sich die Zahl der Malware, die zur Bereitstellung zusätzlicher Nutzlasten auf infizierten Computern verwendet werden kann, erhöht. Diese Malware-Arten können aufgrund ihrer Vielseitigkeit die Rendite für Angreifer maximieren.

Die November „Most Wanted“-Top 3:

*Die Pfeile markieren die Veränderungen im Vergleich zum Vormonat an.

  1. ↑ Emotet – Kryptominer, der die CPU- oder GPU-Leistung des Opfers und vorhandene Ressourcen für das Kryptomining nutzt – Transaktionen zur Blockchain hinzufügt und neue Währungen freigibt. Es ist ein Konkurrent von Coinhive, der versucht, stets im Verborgenen zu agieren, indem er einen geringeren Prozentsatz der Einnahmen aus Websites verlangt.
  2. ↔ Coinhive – Kryptominer, der entwickelt wurde, um das Online-Mining der Monero-Kryptowährung durchzuführen, wenn ein Benutzer eine Webseite ohne Wissen des Benutzers besucht oder die Gewinne mit dem Benutzer genehmigt. Das implantierte JavaScript nutzt die großen Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen.
  3. Andromeda – Modularer Bot, der hauptsächlich als Hintertür verwendet wird, um zusätzliche Malware an infizierte Hosts zu verteilen, kann jedoch modifiziert werden, um verschiedene Arten von Botnetzen zu erstellen.

Die Forscher von Check Point analysierten auch die am häufigsten ausgenutzten Schwachstellen. CVE-2017-7269 steht mit einer globalen Auswirkung von 48 Prozent der Unternehmen weiterhin an erster Stelle der Liste der am stärksten ausgenutzten Schwachstellen. OpenSSL TLS DTLS Heartbeat Information Disclosure behauptet seinen zweiten Platz mit einem globalen Einfluss von 44 Prozent.  CVE-2016-6309, eine Schwachstelle in der tls_get_message_body-Funktion von OpenSSL steht an dritter Stelle und betrifft 42 Prozent der Unternehmen.

Die im Nobember am meisten ausgenutzten Schwachstellen:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Durch das Senden einer ausgearbeiteten Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein entfernter Angreifer beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.
  1. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): Eine Schwachstelle bei der Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
  2. ↑ OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) – In der Funktion tls_get_message_body von OpenSSL wurde eine Schwachstelle gemeldet, die nach dem Verlassen des Systems genutzt werden kann. Ein entfernter, nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Nachricht an den anfälligen Server sendet. Die erfolgreiche Ausnutzung ermöglicht es dem Angreifer, beliebigen Code auf dem System auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

* Die komplette Most Wanted Malware Top 10 im November finden Sie im Check Point Blog:  http://blog.checkpoint.com/2018/12/11/november-2018s-most-wanted-malware-the-rise-of-the-thanksgiving-day-botnet/

Check Point’s Threat Prevention Ressourcen finden Sie hier:  http://www.checkpoint.com/threat-prevention-resources/index.html