Top Malware für Juni 2020: Wie im letzten Jahr: Keylogger AgentTesla übernimmt zum Sommerbeginn die Spitze

Maya Horowitz – Copy[2][1]

Außerdem unter den Top 3 hält sich der Banking-Trojaner Dridex, der zudem von Trickbot verstärkt wird. Zahlungsverkehr in Deutschland ist also weiterhin ein attraktives Ziel. Auch das Phorpiex-Botnet zeigt sich sehr aktiv. 

San Carlos, Kalifornien – 23. Juni 2020 – Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat den Global Threat Index für Juni 2020 veröffentlicht.

Wie bereits von den Check-Point-Sicherheitsforschern berichtet, ist das Bot-Netz Phorpiex dafür bekannt, dass es groß angelegte Sextortion-Malspam-Kampagnen verbreitet und auch andere Malware-Familien einschleust. Die neue über Phorpiex ausgelieferte Malspam-Kampagne versucht, die Empfänger durch ein Wink-Emoji im Betreff der E-Mail zum Öffnen eines Zip-Dateianhangs zu verleiten. Wenn ein Benutzer auf das Archiv klickt, wird die Avaddon-Ransomware aktiviert, die Daten auf dem Computer umgehend verschlüsselt und im Gegenzug für die Entschlüsselung ein Lösegeld verlangt. Während der Nachforschungen im Jahr 2019 fand Check Point über eine Million mit Phorpiex infizierte Windows-Rechner. Die Forscher schätzten die jährlichen kriminellen Einnahmen, die durch das Phorpiex-Bot-Netz generiert werden, auf etwa 437 000 Euro (500 000 Dollar).

„In der Vergangenheit wurde Phorpiex, auch unter dem Namen Trik bekannt, auf verschiedene Weisen dazu gebraucht, Geld zu verdienen. Am bekanntesten war die Verbreitung anderer Malware, wie GandCrab, Pony oder Pushdo, außerdem die Nutzung seiner Hosts zum Abbau von Krypto-Währungen, und Erpressungen, wie die Sextortion-Kampagne. Jetzt wird das Bot-Netz zur Verbreitung der Ransomware Avaddon verwendet“, erklärte Maya Horowitz, Head of Cyber Research and Threat Intelligence bei Check Point: „Organisationen aller Art sollten ihre Mitarbeiter darüber aufklären, wie sie die Arten von E-Mail-Spam und Phishing erkennen können, die diese Kampagnen nutzen. Die derzeitige Kampagne, die Benutzer mit E-Mails und einem Wink-Emoji ansprechen möchte, ist ein gutes Beispiel dafür, wie geschickt die Cyber-Kriminellen vorgehen. Die Unternehmen müssen zudem sicherstellen, dass sie Schutzmaßnahmen ergreifen, die Hacker aktiv daran hindern, die Netzwerke zu infiltrieren.“

Weiterhin erfreuen sich die Remote Access Trojaner (RAT) großer Beliebtheit – alle drei Spitzenreiter gehören dazu. Sie bergen eine enorme Gefahr, da bei einer Infektion eines Endgerätes durch diese RAT die Tür für weitere Malware geöffnet wird. Der potenzielle finanzielle Schaden ist bei solchen Angriffen enorm. Banking-Trojaner, wie Dridex und Trickbot haben es sogar speziell auf Bankkonten und damit die Finanzen des Ziels abgesehen. An der Spitze rangiert derzeit Agent Tesla, wie im letzten Sommer, als der Keylogger und Password Stealer erstmals in den Top 3 auftauchte. Er spezialisiert sich auf den Diebstahl von Zugangsdaten oder anderen personenbezogenen Informationen, wie Browser-Verläufe und die Zwischenablage.

Top 3 Most Wanted Malware für Deutschland:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

Dridex bleibt weiter an der Spitze, gefolgt vom Informationsdieb Agent Tesla. Auf Platz drei landet der Trojaner Ursnif.

  1. Agent Tesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.
  2. Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
  3. Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.

Die Top 3 Most Wanted Mobile Malware:

Der Neueinsteiger des letzten Monats, Necro, setzt sich an die Spitze, gefolgt von den bekannten Bedrohungen Hiddad und Lotoor.

  1. Necro – Necro ist ein Android Trojan Dropper. Er kann andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, weil er kostenpflichtige Abonnements berechnet.
  2. Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
  3. 3. Lotoor – Ein Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.

Die Top 3 Most Wanted Schwachstellen:

Die OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) steht nun an der Spitze und betrifft 45 Prozent der Unternehmen weltweit. Auf Platz zwei rutscht MVPower DVR Remote Code Execution in der Rangliste der weltweit größten Schwachstellen mit 44 Prozent. Den dritten Platz verteidigt Web Server Exposed Git Repository Information Disclosure mit 34 Prozent, das vor allem Risiken für Kontoinformationen birgt.

  1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
  2. MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
  3. Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.

Den kompletten Beitrag zur Most Wanted Malware im Juni 2020 lesen Sie im Check-Point-Blog.

Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/

Alle Berichte von Check Point lesen Sie hier: https://blog.checkpoint.com/

Folgen Sie Check Point Research über:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

Über Check Point Research

Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.