Check Point’s Top Malware für Juli 2021 – Monat der Spionage

Maya Horowitz – Copy[2][1]

Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat den Global Threat Index für Juli 2021 veröffentlicht.

In den letzten Wochen hat sich Snake über Phishing-E-Mails mit verschiedenen Themen in allen Ländern und Geschäftsbereichen stark verbreitet. Snake-Infektionen stellen eine große Bedrohung für die Privatsphäre und die Online-Sicherheit der Benutzer dar, weil die Malware praktisch alle Arten sensibler Informationen stehlen kann. Es gibt Untergrund-Hacking-Foren, in denen der Snake Keylogger zum Kauf angeboten wird. Die Preise liegen zwischen rund 21 und 427 Euro (25 und 500 Dollar), je nach angebotenem Service-Level.

Keylogger-Angriffe sind altbekannt und können besonders gefährlich werden, da viele Menschen ihren Benutzernamen und ihr Kennwort mehrfach verwenden. Sobald also ein Konto geknackt wird, erhält der Kriminelle den Zugang zu allen Konten gleichen Passworts. Aus diesem Grund müssen Passwörter nicht nur stark sondern auch unterschiedlich sein. Hier kann ein Passwort-Manager helfen, der es ermöglicht, verschiedene und robuste Zugangskombinationen für jeden Dienst auf der Grundlage der beschlossenen Richtlinien zu erstellen und zu verwalten.

Hinzu kommt sLoader als weitere Malware, die auf Spionage ausgelegt ist und Informationen über das System und die laufende Sitzung sammelt. Dazu gehören Screenshots und der DNS-Cache des Browsers, der besuchte Webseiten enthält.

„Wo immer es möglich ist, sollten sich die Nutzer nicht nur auf Kennwörter verlassen, sondern die Implementierung von Multi-Faktor-Authentifizierung (MFA) oder Single-Sign-On (SSO) als Technologie in Erwägung ziehen“, erklärt Frau Maya Horowitz, Director, Threat Intelligence & Research, Products bei Check Point: „Bezüglich der Passwortrichtlinien ist es ratsam, für jeden Dienst ein starkes, eindeutiges Passwort zu fordern. Sogar wenn die Hacker eines der Passwörter in die Hände bekämen, erhalten diese damit nicht sofort Zugriff auf mehrere Websites und Konten. Keylogger, wie Snake, werden außerdem oft über Phishing-E-Mails verbreitet. Deshalb ist es wichtig, dass die Benutzer auf kleine Unstimmigkeiten in den Nachrichten achten, wie Rechtschreibfehler in Links und E-Mail-Adressen. Zusätzlich sollten sie darauf hingewiesen werden, niemals auf verdächtige Links zu klicken oder unbekannte Anhänge zu öffnen.“

Top 3 Most Wanted Malware für Deutschland:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber des Vormonats.

Dridex ist zurück an der Spitze. Die Plätze Zwei und Drei belegen die Neulinge Snake Keylogger und sLoader.

1. ↑ Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

2. ↑ Snake Keylogger – Snake ist ein modularer .NET-Keylogger und Credential Stealer, der Ende November 2020 entdeckt wurde. Seine Hauptfunktion besteht darin, die Tastatureingaben der Benutzer aufzuzeichnen und die gesammelten Daten an die Hacker zu übermitteln. Snake-Infektionen stellen eine große Bedrohung für die Privatsphäre und die Online-Sicherheit der Nutzer dar, weil die Malware praktisch alle Arten sensibler Informationen stehlen kann und zudem ein besonders ausweichender und hartnäckiger Keylogger ist.

3. ↑ sLoad – sLoad ist ein PowerShell-Downloader, der am häufigsten Ramnit-Banker ausliefert und umfangreiche Spionage-Funktionen enthält. Die Malware sammelt Informationen über das infizierte System, darunter eine Liste der laufenden Prozesse, das Vorhandensein von Outlook und das Vorhandensein von Citrix-bezogenen Dateien. sLoad kann auch Screenshots erstellen und den DNS-Cache auf bestimmte Domänen (z. B. Banken) überprüfen sowie externe Binärdateien laden.

Die Top 3 Most Wanted Mobile Malware:

Erneut belegt xHelper den ersten Platz bei der am weitesten verbreiteten mobilen Malware, gefolgt von Hiddad und XLoader.

1. ↔ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.

2. ↑ AlienBot – Bei der AlienBot-Malware-Familie handelt es sich um eine Malware-as-a-Service (MaaS) gegen Android-Geräte. Sie ermöglicht es einem Angreifer, in einem ersten Schritt bösartigen Code in legitime Finanzanwendungen einzuschleusen. Der Angreifer verschafft sich Zugang zu den Konten der Opfer und übernimmt schließlich die vollständige Kontrolle über deren Gerät.

3. Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

Die Top 3 Most Wanted Schwachstellen:

In diesem Monat ist Web Server Exposed Git Repository Information Disclosure die am häufigsten ausgenutzte Schwachstelle, von der 45 Prozent der Unternehmen weltweit betroffen sind, gefolgt von HTTP Headers Remote Code Execution, mit 44 Prozent Reichweite. MVPower DVR Remote Code Execution nimmt den dritten Platz mit einer Auswirkung von 42 Prozent ein.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.

2. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.

3. MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über drei Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.

Den kompletten internationalen Beitrag zur Most Wanted Malware im Juli 2021 lesen Sie im Check-Point-Blog.