Check Points Sicherheitsforscher berichten von einem Triumvirat der Banking-Trojaner, darunter der Neuling Zloader. König Emotet dagegen rutscht aus den Top 3.
San Carlos, Kalifornien – 23. Dezember 2020 – Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat den Global Threat Index für November 2020 veröffentlicht.
Die ersten drei Plätze halten Banking-Trojaner, allen voran QBot, der über viele Ausweichtechniken verfügt und gezielt die Zugangsdaten der Nutzer stiehlt. Es folgen Dridex und der Neuling Zloader, die vielseitig einsetzbar sind. Dridex kann zusätzlich Hintertüren öffnen und weitere Malware herunterladen; Zloader ist ein Ableger des gefährlichen Zeus-Netzwerks und kann über das Stehlen hinaus den Angreifern einen Zugang zum infizierten Computer über einen Virtual-Network-Client ermöglichen, sodass diese Finanztransaktionen über das infizierte Gerät auslösen können. Wer aber überraschend fehlt ist Emotet: Nach enorm starken Monaten ist das Bot-Netz in Deutschland nicht mehr unter den Top 3 zu finden, doch das kann sich schnell wieder ändern. Die letzte Pause nutzten die Entwickler für zahlreiche Verbesserungen, um gewaltiger als zuvor während der Sommer- und Herbstmonate zuzuschlagen.
International warnt Frau Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point Software Technologies, vor dem wieder aufflammenden Bot-Netz Phorpiex, dass auch in Deutschland (Sextortion-Kampagne) einige Zeit wütete und derzeit die neue Ransomware-as-a-Service Avaddon ausliefert: „Phorpiex ist eines der ältesten und hartnäckigsten Bot-Netze und wird von seinen Schöpfern seit vielen Jahren für die Verbreitung anderer Schädlinge, wie der GandCrab– und Avaddon-Ransomware verwendet, oder für Sextortion-Betrügereien. Unternehmen sollten ihre Mitarbeiter dringend schulen, wie sie potentiellen Malspam erkennen können und diese sollten sich davor hüten, unbekannte Anhänge in zweifelhaften E-Mails zu öffnen – sogar dann, wenn die Nachricht scheinbar von einer vertrauenswürdigen Quelle stammt. Außerdem sollten die Firmen sicherstellen, dass sie geeignete Sicherheitslösungen einsetzen, die eine Infektion der Netzwerke verhindern.“
Top 3 Most Wanted Malware für Deutschland:
* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.
Qbot erobert die Spitze, gefolgt von Dridex. Auf Platz drei steigt Zloader ein.
- ↑Qbot – Der Schädling ist auch bekannt als Qakbot oder Pinkslipbot und ein 2008 erstmals entdeckter Banking-Trojaner, der Bankdaten und Tastatureingaben von Benutzern stiehlt. Qbot wird häufig über Spam-E-Mails verbreitet und setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ein, um die Analyse zu erschweren und der Erkennung zu entgehen.
- ↑Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
- ↑ Zloader – Zloader ist ein Ableger der gefährlichen Zeus-Banking-Malware, die Webinjects verwendet, um Anmeldeinformationen, Passwörter und Browser-Cookies der Kunden von Banken und Finanzinstituten zu stehlen. Die Malware ermöglicht es Angreifern außerdem, sich über einen virtuellen Netzwerk-Computing-Client mit dem infizierten System zu verbinden, sodass diese darüber betrügerische Finanztransaktionen durchführen können.
Die Top 3 Most Wanted Mobile Malware:
Hier hat sich nichts getan: Die Spitze hält Hiddad, während xhelper auf dem zweiten Rang verbleibt. An dritter Stelle steht Lotoor.
- ↔ Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
- ↔ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
- 3. ↔ Lotoor – Ein Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.
Die Top 3 Most Wanted Schwachstellen:
Alte Akteure, aber neue Reihenfolge: Die Schwachstelle HTTP Headers Remote Code Execution (CVE-2020-13756) steht nun mit 54 Prozent weltweiter Auswirkung auf Platz eins. MVPower DVR Remote Code Execution und Dasan GPON Router Authentication Bypass (CVE-2018-10561) rutschen jeweils einen Platz nach unten mit 48 Prozent und 44 Prozent.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
- ↓ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
- ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Eine Schwachstelle, die es erlaubt, die Authentifizierung in Dasan GPON-Routern zu umgehen. Die erfolgreiche Ausnutzung dieser Schwachstelle gibt Hackern die Möglichkeit, an sensible Informationen zu gelangen und sich unbefugten Zugang zum betroffenen System zu verschaffen.
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.
Den kompletten Beitrag zur Most Wanted Malware im November 2020 lesen Sie im Check-Point-Blog.
