Top-Malware im März

Im letzten Monat hatten Sicherheitsforscher eine neue Malware-Kampagne des berüchtigten Emotet-Trojaner aufgedeckt. Wie bereits Anfang des Jahres berichtet, haben die Emotet-Angreifer nach alternativen Wegen gesucht, um bösartige Dateien zu verbreiten, seit Microsoft angekündigt hat, Makros in Office-Dateien zu blockieren.

In der jüngsten Kampagne haben die Angreifer eine neue Strategie gewählt: Sie versenden Spam-E-Mails, die eine bösartige OneNote-Datei enthalten. Sobald diese geöffnet wird, erscheint eine gefälschte Nachricht, die das Opfer verleitet, auf das Dokument zu klicken, wodurch die Emotet-Infektion heruntergeladen wird. Sobald die Malware installiert ist, kann sie E-Mail-Benutzerdaten wie Anmeldedaten und Kontaktinformationen sammeln. Die Angreifer nutzen dann die gesammelten Informationen, um die Reichweite der Kampagne zu vergrößern und zukünftige Angriffe zu erleichtern.

Sicherheitsmaßnahmen umgangen

Maya Horowitz, VP Research bei Check Point Software, über den aktuellen Global Threat Index: „Obwohl große Technologie-Unternehmen ihr Bestes tun, um Cyber-Kriminelle so früh wie möglich auszuschalten, ist es nahezu unmöglich, jeden Angriff zu verhindern, der die Sicherheitsmaßnahmen umgeht. Wir wissen, dass es sich bei Emotet um einen ausgeklügelten Trojaner handelt, und es ist keine Überraschung, dass es ihm gelungen ist, Microsofts neue Abwehrmaßnahmen zu umgehen. Das Wichtigste, was die Menschen tun können, ist, für eine angemessene E-Mail-Sicherheit zu sorgen, das Herunterladen unerwarteter Dateien zu vermeiden und der Herkunft einer E-Mail und ihrem Inhalt mit großer Skepsis zu begegnen.“

Malware Top 3 in Deutschland:

Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

• ↔ Qbot – Qbot, auch bekannt als Qakbot, ist ein Banking-Trojaner, der erstmals 2008 auftauchte. Er wurde entwickelt, um die Bankdaten und Tastatureingaben eines Benutzers zu stehlen. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und die Erkennung zu umgehen.
• ↑ Guloader – Guloader ist ein Downloader, der seit Dezember 2019 weit verbreitet wurde. Als er zum ersten Mal auftauchte, wurde Guloader zum Herunterladen von Parallax RAT verwendet, aber auch für andere Fernzugriffs-Trojaner und Infostealer, wie Netwire, Formbook und Agent Tesla.
• ↑ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder bösartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann über Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.

Top 3 der Schwachstellen:

Im März war Apache Log4j Remote Code Execution die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen waren, dicht gefolgt von HTTP Headers Remote Code Execution mit einem Anteil von 43 Prozent. MVPower DVR Remote Code Execution steht mit einer weltweiten Auswirkung von 40 Prozent auf dem dritten Platz.

• ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – In Apache Log4j besteht eine Schwachstelle in Bezug auf Remote Code Execution. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
• ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.
• ↑ MVPower DVR Remote Code Execution – In MVPower-DVR-Geräten besteht Schwachstelle zur Ausführung von Remotecode. Ein Angreifer kann diese Schwachstelle ausnutzen, um über eine manipulierte Anfrage beliebigen Code auf dem betroffenen Router auszuführen.

Top 3 der Mobile Malware:

Im vergangenen Monat war AhMynth die am häufigsten verbreitete Hadny-Malware, gefolgt von Anubis und Hiddad.

• ↑ AhMyth – AhMyth ist ein Remote Access Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Senden von SMS-Nachrichten und das Aktivieren der Kamera durchführen
• ↓ Anubis – Anubis ist ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
• ↓ Hiddad – Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, sie kann aber auch Zugang zu wichtigen Sicherheitsdetails des Betriebssystems erhalten.

Angegriffenen Branchen:

• ↑ Einzelhandel/Großhandel (Retail/Wholesale
• ↓ Bildung/Forschung (Education/Research)
• ↔ Gesundheitswesen (Healthcare)

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloudIntelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies.

Passende Artikel zum Thema