Top Malware für August 2020: Emotet wildert in Deutschland

Ein Artikel von red | 12.09.2020 - 09:19

Check Point Research, die Threat Intelligence-Abteilung von Check Point Software Technologies, Anbieter von Cyber-Sicherheitslösungen, hat den Global Threat Index für August 2020 veröffentlicht. Erstmal schafft es der Banking-Trojaner Qbot in die Top 10 und steigt gleich auf dem dritten Platz ein. Er ist auch unter den Namen Quakbot und Pinkslipbot bekannt und war im August mit 100 000 bestätigten Opfern weltweit die am weitesten verbreitete Malware. Spitzenreiter aber bleibt der Kollege Emotet, welcher rund 26 Prozent der deutschen Unternehmen im August attackierte, wie die Sicherheitsforscher berichten.

Fotolia_120081892_Subscription_Monthly_M_01.jpg

Data. © BillionPhotos.com - Fotolia

Qbot infiziert Outlook-Postfächer

Dennoch hat Qbot einige Fähigkeiten, die ihn sehr gefährlich machen: Er infiziert Outlook-Postfächer um E-Mails zu sammeln, auszuwerten und sich in lukrative Konversationen einzuklinken. Mittels des manipulierten E-Mail-Verkehrs versucht die Malware dann, Zugangsdaten abzugreifen. Zwischen März und August 2020 haben die Sicherheitsforscher sogar mehrere Kampagnen entdeckt. Bei einer davon wurde Qbot über das Emotet-Bot-Netz ausgeliefert, das kürzlich umfangreich in seinen Funktionen erweitert wurde.

Aus diesem Grund gehen die Sicherheitsforscher davon aus, dass auch Qbot neue Funktionen erhalten hat und die Command-and-Control-Server-Infrastruktur erneuert wurde. Die Malware mausert sich nun zum Multi-Funktions-Werkzeug, da sie in der Lage ist, Zugangsdaten und Informationen zu stehlen, illegale Banküberweisungen über die IP-Adresse des Opfers auszulösen oder Ransomware zu installieren. Allein diese Kampagne über Emotet traf im Juli 2020 rund fünf Prozent der Unternehmen weltweit. Qbot ist seit 2008 bekannt und auf Browser-Daten und Online-Banking-Daten spezialisiert. Die aktuelle Version ist stark verbessert worden.

Top 3 Most Wanted Malware für Deutschland

1. ↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.

2. ↔ AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.

3. ↑ Qbot – Qbot – auch bekannt als Qakbot oder Pinkslipbot – ist ein 2008 erstmals entdeckter Banking-Trojaner, der Bankdaten und Tastatureingaben von Benutzern stiehlt. Qbot wird häufig über Spam-E-Mails verbreitet und setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ein, um die Analyse zu erschweren und der Erkennung zu entgehen.

Hacker versuchen ständig, bewährte Formen von Malware zu verbessern. Sie haben eindeutig in die Entwicklung von Qbot viel investiert, um Datendiebstahl großen Ausmaßes zu ermöglichen. Wir haben einerseits Malspam-Kampagnen beobachtet, die Qbot direkt verbreitet haben und andererseits indirekte Kampagnen gesehen, wobei Qbot über etablierte Dritte geliefert wurde, wie das Emotet-Bot-Netz.

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point Software Technologies

Die Top 3 Most Wanted Mobile Malware

1. ↔ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.

2. ↔ Necro – Necro ist ein sogenannter Android Trojan Dropper. Er lädt andere Malware herunter, zeigt aufdringliche Werbung an und stiehlt Geld, weil er kostenpflichtige Abonnements heimlich berechnet.

3. ↑ Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

Die Top 3 Most Wanted Schwachstellen

Die Schwachstelle Web Server Exposed Git Repository Information Disclosure steht nun an der Spitze und bedroht 47 Prozent der Unternehmen weltweit. Auf Platz zwei rutscht MVPower DVR Remote Code Execution in der Rangliste der weltweit größten Schwachstellen mit 43 Prozent. Den dritten Platz erringt der Neuling Dasan GPON Router Authentication Bypass (CVE-2018-10561) mit 37 Prozent.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.

2. ↓ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Eine Schwachstelle, die es erlaubt, die Authentifizierung in Dasan GPON-Routern zu umgehen. Die erfolgreiche Ausnutzung dieser Schwachstelle gibt Hackern die Möglichkeit, an sensible Informationen zu gelangen und sich unbefugten Zugang zum betroffenen System zu verschaffen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.

Den kompletten Beitrag zur Most Wanted Malware im August 2020 lesen Sie im Check-Point-Blog.