Check Point Research informiert im Global Threat Index für Juli 2019 über neue Schadprogramme gegen Unternehmen weltweit. Nach Agent Smith attackiert nun Agent Tesla deutsche Geräte und sortiert sich sofort auf Rang zwei der wichtigsten Bedrohungen ein. Dabei handelt es sich um einen Remote Access Trojan (RAT), der vor allem als Keylogger und Passwort-Dieb eingesetzt wird.
Seit 2014 treibt die Malware ihr Unwesen und kann vielfältige Informationen aus dem Rechner des Opfers auslesen, wie die Eingaben der Tastatur. Agent Tesla wird am Schwarzmarkt für nur 15 bis 69 Dollar je Lizenz vertrieben. Auf Platz drei folgt zudem ein weiterer Neuling, Nanocore, ebenfalls ein RAT, der bevorzugt Windows-Systeme befällt und sämtliche Standard-Befehle eines RAT beherrscht, wie Krypto-Mining oder Fernzugriff. Unangefochten aber hält sich Emotet an der Spitze und macht deutschen Unternehmen weiter zu schaffen.
Hinzu kommt eine gefährliche Schwachstelle, die die Sicherheitsforscher in OpenDreamBox 2.0.0 WebAdmin Plugin gefunden haben. Sie betrifft weltweit 32 Prozent der Unternehmen. Die Sicherheitslücke erlaubt es Angreifern über den Fernzugriff Befehlszeilen auf den anvisierten Rechnern auszuführen. Jedoch handelt es sich bei Attacken auf diese Lücke stets um nur einen von vielen Angriffswegen, die gleichzeitig erfolgen können und vornehmlich auf IoT-Geräte abzielen. Ins Visier gerät dabei besonders die Schwachstelle MVPower DVR Remote Code Execution. Die Vorgehensweise der Angreifer weißt Ähnlichkeiten mit dem berüchtigten Mirai Botnetz-Angriff auf.
Im Juli fielen außerdem die Krypto-Mining-Schadprogramme im Ranking stark zurück, obwohl sie mehrere Monate lang den Nutzern zu schaffen machten. Besonders die Verbreitung und Aktivitäten von Cryptoloot verringerten sich.
‚Most Wanted‘ Malware im Juli 2019:
- Emotet - Ein sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
- AgentTesla - Remote Access Trojan, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft.
- NanoCore - Remote Access Trojan, der seit 2013 in aller Munde ist und sich gegen Windows-Betriebssysteme richtet. Alle Versionen des RAT verfügen über Basis-Plugins und Funktionalitäten wie Screen Capture, Krypto Currency Mining oder Remote Control.
‚Most Wanted‘ Mobile Malware im Juli 2019:
- Lotoor - Nutzt Schwachstellen im Android-Betriebssystem aus, um Root-Rechte auf diesen mobilen Geräten zu erlangen.
- AndroidBauts - Adware gegen Android, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen kann und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermöglicht.
- Piom - Adware, die das Browser-Verhalten des Benutzers überwacht und unerwünschte Werbung einblendet, basierend auf dieser Analyse der Webaktivitäten.
‚Most Exploited‘ Schwachstellen im Juli 2019:
- SQL Injection (verschiedene Techniken) - Dieser Angriff bezeichnet die Ausnutzung einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Die Schwachstelle entsteht durch mangelnde Maskierung oder Überprüfung von Metazeichen (;) in Benutzereingaben.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
- MVPower DVR Remote Code Execution - Eine Sicherheitslücke während der Ausführung von Remote-Code besteht in MVPower-DVR-Geräten. Ein Angreifer von außen kann diese Schwachstelle nutzen, um beliebigen Code im betroffenen Router über eine selbst gebastelte Anfrage auszuführen.