Top Malware für Mai 2020: RAT Ursnif breitet sich aus

Die beiden Bankingtrojaner Dridex und Ursnif dominieren die Liste der aktuellen Gefahrenherde während sich im Mobile-Bereich drei neue Kandidaten an die Spitze setzen.

San Carlos, Kalifornien – 23. Mai 2020 – Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat den Global Threat Index für Mai 2020 veröffentlicht.

Die Zahlen, die das Check Point Research Team im vergangenen Monat gesammelt hat, belegen vor allem eines: Remote Access Trojaner (RAT) erfreuen sich aktuell größter Beliebtheit. Sie bergen eine enorme Gefahr, da bei einer Infektion eines Endgerätes durch diese RAT die Tür für weitere Malware geöffnet wird. Der potenzielle finanzielle Schaden ist bei solchen Angriffen enorm. Bankingtrojaner Dridex verteidigte seine Spitzenposition und belegte erneut den ersten Rang, gefolgt von zwei Aufsteigern, Agent Tesla und Ursnif. Letzterer machte einen besonders großen Satz, von den Top 20 in die Top drei. Insgesamt verzeichnete Check Point Research einen Anstieg von 16 Prozent, was die virtuellen Angriffe im Vergleich zum Vormonat anging. Lediglich die COVID-19-bezogenen Angriffe gingen zurück.

Auch an der Mobile-Front gab es eine Überraschung: Alle drei Malware-Programme sind Neueinsteiger in der Spitzenriege. Auch bei diesen drei liegt der Fokus ganz klar auf dem generieren von ungewollten Ausgaben, unter anderem durch das Klicken auf Werbebanner und Abschließen von Abos.

Top 3 Most Wanted Malware für Deutschland:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

Dridex bleibt weiter an der Spitze, gefolgt vom Informationsdieb Agent Tesla. Auf Platz drei landet der Trojaner Ursnif.

  1. Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
  2. ↑ Agent Tesla – Agent Tesla ist ein hochentwickeltes RAT, das als Keylogger und Informationsdieb fungiert und in der Lage ist, die Tastatureingaben des Opfers zu überwachen und zu sammeln, die System-Zwischenablage zu überwachen, Screenshots zu machen und Anmeldeinformationen aus einer Vielzahl von Software zu exfiltrieren, die auf dem Rechner des Opfers installiert ist (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client).
  3. ↑ Ursnif – Ursnif ist ein Trojaner, der auf die Windows-Plattform abzielt und Informationen und Anmeldedaten für Bank- und E-Mail-Konten stiehlt. Außerdem lädt er Dateien herunter und führt sie auf dem infizierten System aus.

Die Top 3 Most Wanted Mobile Malware:

Die Top 3 der Mobile Malware setzt sich dieses Mal aus drei Neueinsteigern zusammen, PreAmo eroberte sich dabei den Spitzenplatz, dicht gefolgt von Necro und Hiddad.

  1. PreAmo – PreAmo ist eine Android-Malware, die den Benutzer imitiert, indem sie auf Banner klickt, die von drei Werbeagenturen abgerufen wurden: Presage, Admob und Mopub.
  2. Necro – Necro ist ein Android Trojan Dropper. Er kann andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, indem er kostenpflichtige Abonnements berechnet.
  3. 3. Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber es kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

Die Top 3 Most Wanted Schwachstellen:

MVPower DVR Remote Code Execution ist und bleibt mit betroffenen 45 Prozent der Unternehmen weltweit die größte Schwachstelle. An zweiter Stelle folgt OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) mit 41 Prozent. Neu im Spitzen-Trio in diesem Monat ist Web Server Exposed Git Repository Information Disclosure, das Risiken für Kontoinformationen birgt.

  1. MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
  3. Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.

Den kompletten Beitrag zur Most Wanted Malware im Mail 2020 lesen Sie im Check-Point-Blog.

Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/

Alle Berichte von Check Point lesen Sie hier: https://blog.checkpoint.com/

Folgen Sie Check Point Research über:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

Über Check Point Research

Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.