Trojaner sind die häufigste Malware in der Schweiz
Keine Malware ist auf Schweizer Rechnern so präsent wie Trojaner. Dies geht aus der Liste der häufigsten Malware-Typen des Cybersecurity-Anbieters Avast hervor. Demnach machten Trojaner 31,3 Prozent der Bedrohungen für Windows- und MacOS-Geräte aus. Am zweithäufigsten taucht Adware auf, mit 16,9 Prozent. Dahinter folgen File Infectors (11,2 Prozent) und, Dropper (8 Prozent).
Auch für Nutzerinnen und Nutzer von Android-Smartphones sind Trojaner ein Problem. Noch häufiger bekommen sie jedoch Adware zu sehen. 37,6 Prozent aller Malware-Infektionen gehen auf das Konto dieses Typs zurück, teilt Avast mit. Die Malware belästige Nutzerinnen und Nutzer nicht nur mit unerwünschter Werbung, sondern tracke oft auch persönliche Informationen, den Browserverlauf und sogar Tastenanschläge. Trojaner haben beim Android-Betriebssystem einen Anteil von 23,1 Prozent. Mit 16,3 Prozent folgen Dropper auf dem dritten Platz.
Schaut man sich die Verteilung der Malware konkret an, so dominiert schon seit mehreren Monaten eine Schadsoftware namens Emotet. Dies geht aus einer Auswertung des israelischen Unternehmens Check Point hervor. Welche Malware sonst noch im Februar-Ranking auftaucht, erfahren Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Malware-Trend August 2022: Emotet vom Spitzenplatz verdrängt
[English]CheckPoint hat den Global Threat Index für August 2022, eine Top-Liste der Malware-Infektionen, veröffentlicht. Für mich erstaunlich: Die bisher häufig erwähnte Emotet-Ransomware wurde von ihrem Spitzenplatz, die sie in den vergangenen Monaten einnahm, verdrängt. Nun steht eine Malware mit dem Namen FormBook auf Platz 1, gefolgt von AgentTesla, wobei letztere ebenfalls kein Unbekannter ist. Hier einige Informationen zur Bedrohungslandschaft, die mir von CheckPoint zur Verfügung gestellt wurden.
Anzeige
Anzeige
Formbook verbreitetste Malware
Laut dem CheckPoint Global Threat Index für August 2022 ist FormBook nun die am weitesten verbreitete Malware und löst Emotet ab. Die Emotet-Malware hatte diese Position seit seinem Wiederauftauchen im Januar 2022 inne.
FormBook ist ein Infostealer, der auf Windows-Betriebssysteme abzielt. Sobald die Malware installiert ist, kann sie Anmeldeinformationen abfangen, Screenshots sammeln, Tastatureingaben überwachen und protokollieren sowie Dateien gemäß seinen Befehlen herunterladen und ausführen (C&C). Seit der ersten Entdeckung im Jahr 2016 hat der Infostealer sich einen Namen gemacht und wird in Untergrund-Hackerforen als Malware-as-a-Service (MaaS) vermarktet. Die Malware ist für ihre starken Umgehungstechniken und ihren relativ niedrigen Preis bekannt.
GuLoader und Joker im Trend
Im August 2022 nahm die Aktivität von GuLoader rapide zu, so CheckPoint. Dies führte dazu, dass es sich um die am viertmeisten verbreitete Malware handelte. GuLoader wurde ursprünglich zum Herunterladen von Parallax RAT verwendet. Die Malware ist inzwischen aber auch für andere Remote-Access-Trojaner und Infostealer wie Netwire, FormBook und Agent Tesla eingesetzt worden. Die Verbreitung erfolgt in der Regel über umfangreiche E-Mail-Phishing-Kampagnen, die das Opfer dazu verleiten, eine bösartige Datei herunterzuladen und zu öffnen, damit die Malware ihre Arbeit aufnehmen kann.
Darüber hinaus berichtet Check Point Research, dass die Android-Spyware Joker wieder im Geschäft ist und in diesem Monat den dritten Platz auf der Liste der größten mobilen Malware belegt. Sobald Joker installiert ist, kann er SMS-Nachrichten, Kontaktlisten und Geräteinformationen stehlen und das Opfer ohne dessen Zustimmung für kostenpflichtige Premium-Dienste anmelden. Der Anstieg des Schädlings lässt sich zum Teil durch einen Anstieg der Kampagnen erklären, da er kürzlich in einigen Anwendungen im Google Play Store entdeckt wurde.
Die weiteren Trends
Die obigen Veränderungen zeigen, wie stark sich die Bedrohungslandschaft binnen weniger Wochen ändern kann. Die Bedrohungsakteure entwickeln ihre Fähigkeiten und Tools ständig weiter. Privatpersonen und Unternehmen bleibt nichts anderes übrig, als sich über die neuesten Bedrohungen auf dem Laufenden zu halten und zu wissen, wie man sich schützen kann.
Festzustellen bleibt auch, dass der Bildungs-/Forschungssektor nach wie vor die Branche ist, die weltweit am häufigsten ins Visier von Cyberkriminellen gerät. Auf den Plätzen zwei und drei der am häufigsten angegriffenen Sektoren liegen Regierung/Militär und Gesundheitswesen. "Apache Log4j Remote Code Execution" ist wieder die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, und hat damit die Schwachstelle "Web Server Exposed Git Repository Information Disclosure" (Offenlegung von Git-Repository-Informationen) überholt, die 42 Prozent der Unternehmen betroffen hat, so CheckPoint.
Liste der Malware-Familien in Deutschland
FormBook ist in diesem Monat die am weitesten verbreitete Malware, die 4,89 Prozent der Unternehmen in Deutschland schädigt, gefolgt von AgentTesla mit einer Auswirkung von 4,21 Prozent und Emotet mit 2,72 Prozent.
↑ FormBook – FormBook ist ein Infostealer, der auf Windows-Betriebssysteme abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien gemäß den Befehlen seines C&C herunterladen und ausführen. ↑ AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Informationsdieb fungiert und in der Lage ist, die Tastatureingaben des Opfers und die Systemtastatur zu überwachen und zu sammeln, Screenshots zu erstellen und Anmeldeinformationen zu einer Reihe von Software zu exfiltrieren, die auf dem Computer des Opfers installiert ist (einschließlich Google Chrome, Mozilla Firefox und dem Microsoft Outlook-E-Mail-Client). ↓ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder bösartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann über Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.
Am meisten angegriffene Branchen
In diesem Monat blieb der Sektor Bildung/Forschung an erster Stelle der weltweit am meisten angegriffenen Branchen, gefolgt von Regierung/Militär und dem Gesundheitswesen.
Anzeige
Anzeige
In Deutschland sieht die Reihenfolge der am meisten attackierten Sektoren wie folgt aus:
↑ Einzelhandel/Großhandel ↑ Bildung/Forschung ↓ Software-Anbieter
Die am häufigsten ausgenutzten Schwachstellen
In diesem Monat ist "Apache Log4j Remote Code Execution" die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, gefolgt von "Web Server Exposed Git Repository Information Disclosure", die mit einem Anteil von 42 Prozent vom ersten auf den zweiten Platz zurückgefallen ist. Die Schwachstelle "Web Server Malicious URL Directory Traversal" bleibt auf dem dritten Platz, mit einer weltweiten Auswirkung von 39 Prozent.
↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – In Apache Log4j besteht eine Schwachstelle für die Remotecodeausführung. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen. ↓ Web Server Exposed Git Repository Information Disclosure – Es wurde eine Schwachstelle in Git Repository gemeldet, die Informationen preisgibt. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte die unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen. ↔ Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Web Servern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
Top Mobile Malware
Diesen Monat ist AlienBot die am weitesten verbreitete mobile Malware, gefolgt von Anubis und Joker.
↔ AlienBot – AlienBot ist ein Banking-Trojaner für Android, der im Untergrund als Malware-as-a-Service (MaaS) verkauft wird. Er unterstützt Keylogging, dynamische Overlays für den Diebstahl von Anmeldedaten sowie SMS-Harvesting zur Umgehung von 2FA. Zusätzliche Fernsteuerungsmöglichkeiten werden durch die Verwendung eines TeamViewer-Moduls bereitgestellt. ↔ Anubis – Anubis ist ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt. ↑ Joker – Eine Android-Spyware in Google Play, die entwickelt wurde, um SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Außerdem kann die Malware das Opfer ohne dessen Zustimmung oder Wissen für kostenpflichtige Premium-Dienste anmelden.
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, dem Intelligence & Research Arm von Check Point Software Technologies. Die vollständige Liste der weltweit zehn häufigsten Malware-Familien im August finden Sie auf dem Check Point Blog.
IT-Sicherheit: meistverbreitete Malware-Stämme im Jahr 2021
Das australische Cyber Security Center und die US-amerikanische IT-Sicherheitsbehörde CISA haben eine Liste der im Jahr 2021 am häufigsten aufgetretenen Malware-Stämme veröffentlicht. Die meisten Schädlinge ließen sich den Kategorien Remote Access Trojaner (RATs), Banking-Trojaner, Information-Stehlern und Ransomware zuordnen.
Laut der Behörden kamen die meisten Stämme schon seit mehr als fünf Jahren zum Einsatz, wobei sich deren Codebasis in mehreren Variationen weiterentwickelt habe. Am "produktivsten" waren Cyberkriminelle, die die Malware einsetzen, um Ransomware auszuliefern oder persönliche und finanzielle Informationen zu stehlen.
Die meistverbreitete Malware
Am häufigsten haben die IT-Sicherheitsexperten die Malware-Stämme Agent Tesla, AZORult, Formbook, GootLoader, LokiBot, Mouseisland, NanoCore, Qakbot, Remcos, TrickBot und Ursnif vorgefunden. Davon seien Qakbot und Ursnif bereits über ein Jahrzehnt aktiv, und bis auf GootLoader und Mouseisland die anderen Schädlingsstämme immerhin seit fünf Jahren anzutreffen.
Zwar entwickelten die Malware-Programmierer den schädlichen Code weiter und erreichen damit eine Langlebigkeit. Doch die Wiederbenutzung alten Codes von bekannten Malware-Stämmen erleichtere es Organisationen, sich besser vorzubereiten, um Angriffe mit der Schadsoftware zu erkennen und abzuwehren.
Unterschiedliche Ziele
QakBot und TrickBot dienten zum Aufbau von Botnetzen und würden von eurasischen Cyberkriminellen entwickelt und bedient. Sie seien dafür bekannt, die Botnet-basierten Zugänge zu nutzen und zu verkaufen, um höchst lukrative Ransomware-Angriffe durchzuführen. Die eurasischen Drahtzieher genössen dabei die freizügigen Umgebungen in Russland und andere früher Sovjetrepubliken.
Die TrickBot-Malware öffne US-amerikanischen Behördenberichten zufolge oftmals initialen Zugang für Conti-Ransomware. Diese sei in rund 450 globalen Ransomware-Angrffen in der ersten Jahreshälfte 2021 zum Einsatz gekommen.
Mit Agent Tesla, Formbook und Remcos hätten Cyberkriminelle im Jahr 2021 zudem groß angelegte Phishing-Kampagnen mit der COVID-19-Pandemie als Aufhänger gestartet. Dabei wollten sie persönliche Daten sowie Zugangsdaten von Unternehmen und Individuen stehlen.
Geringe Gefahr von Konsequenzen
Die Malware-Entwickler profitierten von lukrativen Cyber-Operationen mit geringem Risiko negativer Konsequenzen. Viele würden von Orten aus agieren, in denen es wenige legale Verbote gegen Schadsoftware-Entwicklung und -Verbreitung gebe. Einige vermarkten ihre Malware sogar als legitime Cyber-Sicherheits-Tools.
So würden die Programmierer von Agent Tesla und Remcos die Schädlinge als legitime Werkzeuge zur Fernverwaltung und fürs Pentesting anbieten. Bösartige Cyber-Akteure kaufen die Schadsoftware online für wenig Geld ein und konnten dabei beobachtet werden, wie sie die Werkzeuge für bösartige Zwecke einsetzten.
Empfohlener redaktioneller Inhalt Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen. Umfragen immer laden Umfrage jetzt laden
In ihrer gemeinsamen Sicherheitsmeldung listen die Cyber-Sicherheitsbehörden noch Details zu den einzelnen Malware-Familien auf und geben abschließend Hinweise zum Schutz vor Befall. Dabei finden sich die üblichen Tipps: Updates rasch installieren, Multi-Faktor-Authentifizierung nutzen, bei der Nutzung von risikobehafteten Diensten wie RDP diese ständig auf Anomalien beobachten, Offline-Backups der Daten vorhalten sowie Schulung der Mitarbeiter.
Lesen Sie auch: Themenseite zu Malware auf heise online
(dmk)
