Der Banking-Trojaner ist nach längerer Pause zurück und schießt sofort hoch auf den ersten Platz. Dahinter reihen sich, laut der Sicherheitsforscher von Check Point, AgentTesla und Dridex ein.
Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), hat den Global Threat Index für Juli 2020 veröffentlicht.
Seit Februar 2020 haben sich die Aktivitäten von Emotet – hauptsächlich das wellenartige Versenden von Malware-Kampagnen – verringert und schließlich völlig aufgehört. Nun, im Juli, nahmen sie wieder enorm zu und treffen die deutschen Unternehmen hart. Hauptsächlich verbreitete der Schädling sogenannte Malspam-Kampagnen, um die Malwares Trickbot und Qbot auszuliefern. Beide sind auf Bankdaten spezialisiert und können sich in Netzwerken auch hin und her bewegen. Viele der betrügerischen E-Mails enthielten infizierte Word-Dokumente, die bei Öffnung eine PowerShell ausführten, um die Emotet-Datenbanken und Programmteile herunterzuladen, so Check Points Sicherheitsforscher. Die attackierten Rechner werden dann automatisch dem riesigen Bot-Netz hinzugefügt. Ähnliches konnte bereits 2019 beobachtet werden: Das Bot-Netz ging damals über den Sommer vom Netz um gewartet und verbessert zu werden. Im September kam Emotet mit Wucht zurück.
Maya Horowitz, Head of Cyber Research and Threat Intelligence bei Check Point Software Technologies, äußerte sich wie folgt: „Es ist interessant, dass Emotet Anfang dieses Jahres für einige Monate ruhte und damit ein Muster wiederholte, das wir erstmals 2019 beobachtet hatten. Wir können davon ausgehen, dass die Entwickler hinter dem Bot-Netz seine Funktionen und Fähigkeiten erneut aktualisiert haben. Da Emotet nun wieder aktiv ist, sollten Organisationen ihre Mitarbeiter darüber aufklären, wie sie die Arten von Malspam erkennen können, auf die sich das Bot-Netz derzeit spezialisiert hat. Die Angestellten dürfen keinesfalls blindlings E-Mail-Anhänge öffnen oder auf Links aus externen Quellen klicken. Unternehmen sollten auch den Einsatz von Anti-Malware-Lösungen in Betracht ziehen, die verhindern können, dass solche Inhalte die Endbenutzer erreichen – besonders wenn es darum geht, Zero-Day-Attacken zu blockieren.“
Top 3 Most Wanted Malware für Deutschland:
* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.
Emotet ist zurück an der Spitze, gefolgt vom Informations-Dieb Agent Tesla. Auf Platz drei landet der Banking-Trojaner Dridex.
- ↑ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
- ↓AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.
- ↓ Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
Die Top 3 Most Wanted Mobile Malware:
Die Spitze erobert xhelper zurück und verweist den Neueinsteiger Necro auf Rang zwei. An dritter Stelle steht mit PreAMo ebenfalls ein neuer Gast.
- ↑ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
- ↓ Necro – Necro ist ein Android Trojan Dropper. Er kann andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, weil er kostenpflichtige Abonnements berechnet.
- 3. ↑ PreAMo – Die Mobile Malware imitiert den Nutzer und klickt in seinem Namen auf Werbebanner, die über drei Agenturen ausgeliefert werden: Presage, Admob und Mopub.
Die Top 3 Most Wanted Schwachstellen:
Die Schwachstelle MVPower DVR Remote Code Execution steht nun an der Spitze und betrifft 44 Prozent der Unternehmen weltweit. Auf Platz zwei rutscht OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) in der Rangliste der weltweit größten Schwachstellen mit 42 Prozent. Den dritten Platz erringt Command Injection Over HTTP Payload (CVE-2020-8515) mit 38 Prozent.
- ↑ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
- ↑ Command Injection Over HTTP Payload (CVE-2020-8515) – Ein Angreifer kann diese Lücke ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde es dem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.
Den kompletten Beitrag zur Most Wanted Malware im Juli 2020 lesen Sie im Check-Point-Blog.
