•  

„Most Wanted“-Malware im Oktober 2018

Maya Horowitz, Threat Intelligence Group Manager bei Check Point

Erstmals erreicht ein Remote Control-Trojaner die Top 10 des Global Threat Index + Der aktuelle Global Threat Index von Check Point zeigt, dass RATs an Bedeutung gewinnen, während Kryptomining-Malware weiterhin die Rangliste dominiert.

Check Point veröffentlicht seinen Global Threat Index für Oktober 2018. Der Index zeigt, dass Kryptominer-Malware zwar weiterhin die Rangliste dominiert, aber ein Fernzugriffstrojaner (Remote Access Trojan, RAT) erstmals die Liste der Top 10 erreicht hat.

Im Oktober entdeckten die Sicherheitsforscher von Check Point eine weitverbreitete Malware-Kampagne, die einen Fernzugriffstrojaner (genannt „FlawedAmmyy“) verbreitet, der es Angreifern ermöglicht, die Computer und Daten der Opfer zu übernehmen. Die Kampagne war die aktuell am weitesten verbreitete, bezüglich des Versands des „FlawedAmmyy“. Bereits in den letzten Monaten war eine Reihe von Kampagnen durchgeführt worden, die diese Malware gestreut haben. Der Trojaner ermöglicht es Angreifern, vollen Zugriff auf die Kamera und das Mikrofon der Maschine zu erhalten, Screenshots zu sammeln, Anmeldeinformationen und sensible Dateien zu stehlen und die Handlungen der Opfer detailliert zu überwachen.

Im Ergebnis ist FlawedAmmyy der erste RAT, der es je in die Top 10 des Global Threat Indexs geschafft hat.

Dennoch führt Kryptomining-Malware weiterhin den Index an. Coinhive ist mit einer globalen Auswirkung von 18 Prozent (Deutschland 12,35 %) die am weitesten verbreitete Malware. Cryptoloot belegt Platz zwei der Liste – hier sind 8 Prozent (Deutschland 3,31 %) der Unternehmen weltweit betroffen.

„Diesen Monat haben wir gesehen, wie ein RAT zum ersten Mal unter die Top 10 kam“, sagt Maya Horowitz, Threat Intelligence Group Manager bei Check Point. „Während wir in den letzten Monaten mehrere Kampagnen zur Verteilung der FlawedAmmyy RAT entdeckt haben, war die jüngste Kampagne hinsichtlich ihrer breiten Wirkung mit Abstand die größte. Auch wenn Kryptominer nach wie vor die größte Bedrohung darstellen, kann dies darauf hindeuten, dass Daten wie Log-in-Anmeldeinformationen, sensible Dateien oder Bank- und Zahlungsinformationen ihre lukrative Anziehungskraft auf Cyberkriminelle nicht verloren haben.“

Die Top 3 ‘Most Wanted’ Malware im Monat Oktober 2018 für Deutschland:

*Die Pfeile markieren die Veränderung im Ranking verglichen mit dem Vormonat.

1. ↔ Coinhive: Kryptominer, der entwickelt wurde, um das Online-Mining der Monero-Kryptowährung durchzuführen, wenn ein Benutzer eine Webseite ohne Wissen des Benutzers besucht oder die Gewinne mit dem Benutzer genehmigt. Das implantierte JavaScript nutzt die großen Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen. 

2. ↔ Emotet: Kryptominer, der die CPU- oder GPU-Leistung des Opfers und vorhandene Ressourcen für das Kryptomining nutzt – Transaktionen zur Blockchain hinzufügt und neue Währungen freigibt. Es ist ein Konkurrent von Coinhive, der versucht, stets im Verborgenen zu agieren, indem er einen geringeren Prozentsatz der Einnahmen aus Websites verlangt. 

3. ↑ FlawedAmmyy: FlawedAmmyy ist ein Fernzugriffstrojaner (RAT), der aus dem durchgesickerten Quellcode der Fernverwaltungssoftware Ammyy Admin entwickelt wurde. FlawedAmmyy wurde sowohl bei gezielten E-Mail-Angriffen als auch bei massiven Spam-Kampagnen eingesetzt und implementiert gängige Backdoor-Funktionen, die es den Angreifern ermöglichen, Dateien zu verwalten, den Bildschirm zu erfassen, die Maschine fernzusteuern, RDP SessionsService einzurichten und vieles mehr. 

In diesem Monat hat Triada, die modulare Hintertür für Android, den ersten Platz in der Liste der besten mobilen Malware erreicht. Es ersetzt den Android Banking-Trojaner und Info-Dieb Lokibot, der auf den zweiten Platz gefallen ist. Hiddad hat eine Rückkehr in die Liste als dritthäufigste mobile Malware dieses Monats geschafft.

Top 3 ‘Most Wanted’ Mobile Malware:

1. 1.   Triada: Modulare Backdoor für Android, die Superuser-Rechte für heruntergeladene Malware gewährt und dieser hilft, sich in Systemprozesse einzubetten. Bei Triada haben Sicherheitsforscher auch gesehen, wie URLs, die im Browser geladen wurden, gefälscht wurden. 

2. 2.   Lokibot: Android Banking Trojaner und Info-Dieb, der sich, falls die Administratorenrechte entfernt werden, auch in eine Ransomware verwandeln kann, die das Telefon sperrt. 

3. 3.    Hiddad: Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter weitergibt. Seine Hauptfunktion ist die Anzeige von Werbung, aber sie ist auch in der Lage, Zugriff auf wichtige Sicherheitsdetails zu erhalten, die in das Betriebssystem integriert sind, so dass ein Angreifer sensible Benutzerdaten erhalten kann. 

Die Sicherheitsforscher von Check Point analysieren auch die am häufigsten ausgenutzten Schwachstellen. CVE-2017-7269 steht mit einer globalen Auswirkung auf 48 Prozent der Unternehmen weiterhin an erster Stelle der Liste. Auf dem zweiten Platz lag OpenSSL TLS DTLS Heartbeat Information Disclosure mit einer globalen Auswirkung auf 46 Prozent aller Unternehmen, gefolgt von der Schwachstelle im Webserver PHPMyAdmin Misconfiguration Code Injection. Diese Sicherheitslücke betraf weltweit 42 Prozent der Unternehmen.

Die Top 3 ‘Most Exploited’-Schwachstellen im Oktober 2018:

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Durch das Senden einer ausgearbeiteten Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein entfernter Angreifer beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde. 

2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): Eine Schwachstelle bei der Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen. 

3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection: In PHPMyAdmin wurde eine Schwachstelle bei der Codeinjektion gemeldet. Die Schwachstelle ist auf eine Fehlkonfiguration von PHPMyAdmin zurückzuführen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, indem er eine speziell gestaltete HTTP-Anfrage an das Ziel sendet. 

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

* Die komplette Liste der Top 10 Malware-Familien im Oktober können Sie auf dem Check Point Blog nachlesen: http://blog.checkpoint.com/2018/11/13/october-2018s-most-wanted-malware-for-the-first-time-remote-access-trojan-reaches-top-threats-cryptomining/ 

Die Informationen aus Check Point’s Threat Prevention finden Sie hier:  http://www.checkpoint.com/threat-prevention-resources/index.html 

Autor: Davor Kolaric

Diesen Artikel empfehlen