Top Malware für März 2020: Dridex stürzt Emotet

Maya Horowitz – Copy[2][1]

Forscher von Check Point berichten, dass der ewige König sogar die Top 3 verlässt. Stattdessen erobert ein anderer Banking-Trojaner die Spitze.

San Carlos, Kalifornien – 17. April 2020 – Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat den Global Threat Index für März 2020 veröffentlicht

Der bekannte Banking-Trojaner Dridex, der 2011 auftauchte, ist zum ersten Mal in die Top 3 der Malware-Liste vorgerückt und sofort an die Spitze geklettert. Dridex wurde über die Jahre aktualisiert und wird nun in den frühen Angriffsphasen zum Herunterladen von gezielter Ransomware wie BitPaymer und DoppelPaymer eingesetzt. Opfer des steilen Aufstiegs war Emotet. Der ewige Spitzenreiter flog sogar aus der Liste der oberen Drei heraus. Dieser Umstand belegt, wie schnell die Cyber-Kriminellen die Arten ihrer Angriffe ändern, um die Infektionsraten zu maximieren.

Der starke Anstieg der Dridex-Aktivitäten wurde von mehreren Spam-Kampagnen ausgelöst, die eine betrügerische Excel-Datei enthielten. Diese lädt nach der Ausführung die Dridex-Malware auf den Computer des Opfers herunter. Dridex ist eine hochentwickelte Malware-Familie gegen das Bankenwesen, die besonders gegen Windows-Systeme gerichtet ist. Dridex verbreitet sich durch Spam-Kampagnen, um Computer zu infizieren und Bankdaten zu stehlen oder andere persönliche Informationen abzugreifen. Ziel ist es, illegale Überweisungen an die Hacker auszulösen. Die Malware wurde in den letzten zehn Jahren systematisch aktualisiert und entwickelt.

„Der plötzliche Aufstieg von Dridex zeigt, wie schnell Cyber-Kriminelle ihre Methoden ändern können,“ erklärt Maya Horowitz, Head of Cyber Research and Threat Intelligence bei Check Point: „Diese Art von Malware kann aufgrund ihrer Ausgereiftheit sehr lukrativ sein und wird jetzt als Ransomware-Downloader eingesetzt, was sie noch gefährlicher macht, als frühere Varianten. Anwender müssen sich daher vor E-Mails mit Anhängen in Acht nehmen, selbst wenn sie von einer vertrauenswürdigen Quelle zu stammen scheinen – besonders angesichts der explosionsartigen Zunahme der Tele-Arbeit in den letzten Wochen. Unternehmen müssen zudem ihre Mitarbeiter darüber aufklären, wie diese Spam-Nachrichten erkennen können, und sollten Sicherheitsmaßnahmen einsetzen, die ihre Abteilungen und Netzwerke vor Bedrohungen schützen.“

Top 3 Most Wanted Malware für Deutschland:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

Dridex eroberte die Spitzenposition, gefolgt vom aufsteigenden Trickbot. Auf Platz drei rückt AgentTesla vor.

  1. Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
  2. ↑ Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.
  3. ↑ AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.

Die Top 3 Most Wanted Mobile Malware:

Auf den vorderen Plätzen hält sich weiterhin xHelper. Danach kommt die Android-Malware AndroidBauts. Das Schadprogramm Lotoor steigt auf Platz drei.

  1. ↔ xHelper – Eine bösartige Android-Anwendung, die seit März 2019 in freier Wildbahn zu sehen ist und zum Herunterladen anderer bösartiger Anwendungen und zur Anzeige von Werbung verwendet wird. Die Anwendung ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und installiert sich neu, wenn der Benutzer sie deinstalliert.
  2. AndroidBauts – Adware gegen Android, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen kann und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermöglicht.
  3. 3. Lotoor – Ein Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.

Die Top 3 Most Wanted Schwachstellen:

Die Schwachstelle ‚MVPower DVR Remote Code Execution‘ bleibt die am häufigsten ausgenutzte und betraf 30 Prozent der Unternehmen weltweit. An zweiter Stelle folgt ‚ PHP php-cgi Query String Parameter Code Execution’mit 29 Prozent. Danach kommt ‚ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)’ mit 27 Prozent Auswirkung.

  1. MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
  2. PHP php-cgi Query String Parameter Code Execution – Eine Schwachstelle in PHP zur Ausführung von Code über den Fernzugriff. Die Schwachstelle ist auf das unsachgemäße Parsing und Filtering von Query Strings durch PHP zurückzuführen. Ein Angreifer kann dieses Problem ausnutzen, indem er selbsterstellte HTTP-Anfragen sendet. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebigen Code auf dem Ziel-Rechner ausführen.
  3. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.

Den kompletten Beitrag zur Most Wanted Malware im März 2020 lesen Sie im Check-Point-Blog.

Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/

Alle Berichte von Check Point lesen Sie hier: https://blog.checkpoint.com/

Folgen Sie Check Point Research über:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

Über Check Point Research

Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.