Check Point hat seinen Global Threat Index für März 2023 veröffentlicht. Mit Qbot, Guloader und Emotet sind drei modulare und sehr gefährliche Trojaner unter den Top 3, die zudem zur Verbreitung anderer Malware genutzt werden können. Check Points Sicherheitsforscher warnen außerdem vor einer neuen, großen Emotet Kampagne gegen Microsoft OneNote.
Im letzten Monat hatten Sicherheitsforscher eine neue Malware-Kampagne des berüchtigten Emotet-Trojaner aufgedeckt. Wie bereits Anfang des Jahres berichtet, haben die Emotet-Angreifer nach alternativen Wegen gesucht, um bösartige Dateien zu verbreiten, seit Microsoft angekündigt hat, Makros in Office-Dateien zu blockieren.
In der jüngsten Kampagne haben die Angreifer eine neue Strategie gewählt: Sie versenden Spam-E-Mails, die eine bösartige OneNote-Datei enthalten. Sobald diese geöffnet wird, erscheint eine gefälschte Nachricht, die das Opfer verleitet, auf das Dokument zu klicken, wodurch die Emotet-Infektion heruntergeladen wird.
Sobald die Malware installiert ist, kann sie E-Mail-Benutzerdaten wie Anmeldedaten und Kontaktinformationen sammeln. Die Angreifer nutzen dann die gesammelten Informationen, um die Reichweite der Kampagne zu vergrößern und zukünftige Angriffe zu erleichtern.
Top 3 Malware für Deutschland:
- Qbot - auch bekannt als Qakbot, ist ein Banking-Trojaner, der erstmals 2008 auftauchte. Er wurde entwickelt, um die Bankdaten und Tastatureingaben eines Benutzers zu stehlen. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und die Erkennung zu umgehen.
- Guloader - ein Downloader, der seit Dezember 2019 weit verbreitet wurde. Als er zum ersten Mal auftauchte, wurde Guloader zum Herunterladen von Parallax RAT verwendet, aber auch für andere Fernzugriffs-Trojaner und Infostealer, wie Netwire, Formbook und Agent Tesla.
- Emotet - ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder bösartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann über Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.
Top 3 Mobile Malware:
- AhMyth - ein Remote Access Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Senden von SMS-Nachrichten und das Aktivieren der Kamera durchführen.
- Anubis - ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
- Hiddad - eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, sie kann aber auch Zugang zu wichtigen Sicherheitsdetails des Betriebssystems erhalten.
Top 3 Schwachstellen:
Im März war Apache Log4j Remote Code Execution die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen waren, dicht gefolgt von HTTP Headers Remote Code Execution mit einem Anteil von 43 Prozent. MVPower DVR Remote Code Execution steht mit einer weltweiten Auswirkung von 40 Prozent auf dem dritten Platz.
- Apache Log4j Remote Code Execution (CVE-2021-44228) – In Apache Log4j besteht eine Schwachstelle in Bezug auf Remote Code Execution. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
- HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.
- MVPower DVR Remote Code Execution – In MVPower-DVR-Geräten besteht Schwachstelle zur Ausführung von Remotecode. Ein Angreifer kann diese Schwachstelle ausnutzen, um über eine manipulierte Anfrage beliebigen Code auf dem betroffenen Router auszuführen.
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloudIntelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies.