Malware-Trend August 2022: Emotet vom Spitzenplatz verdrängt

Publiziert am 28. September 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]CheckPoint hat den Global Threat Index für August 2022, eine Top-Liste der Malware-Infektionen, veröffentlicht. Für mich erstaunlich: Die bisher häufig erwähnte Emotet-Ransomware wurde von ihrem Spitzenplatz, die sie in den vergangenen Monaten einnahm, verdrängt. Nun steht eine Malware mit dem Namen FormBook auf Platz 1, gefolgt von AgentTesla, wobei letztere ebenfalls kein Unbekannter ist. Hier einige Informationen zur Bedrohungslandschaft, die mir von CheckPoint zur Verfügung gestellt wurden.

Anzeige

Formbook verbreitetste Malware

Laut dem CheckPoint Global Threat Index für August 2022 ist FormBook nun die am weitesten verbreitete Malware und löst Emotet ab. Die Emotet-Malware hatte diese Position seit seinem Wiederauftauchen im Januar 2022 inne.

FormBook ist ein Infostealer, der auf Windows-Betriebssysteme abzielt. Sobald die Malware installiert ist, kann sie Anmeldeinformationen abfangen, Screenshots sammeln, Tastatureingaben überwachen und protokollieren sowie Dateien gemäß seinen Befehlen herunterladen und ausführen (C&C). Seit der ersten Entdeckung im Jahr 2016 hat der Infostealer sich einen Namen gemacht und wird in Untergrund-Hackerforen als Malware-as-a-Service (MaaS) vermarktet. Die Malware ist für ihre starken Umgehungstechniken und ihren relativ niedrigen Preis bekannt.

GuLoader und Joker im Trend

Im August 2022 nahm die Aktivität von GuLoader rapide zu, so CheckPoint. Dies führte dazu, dass es sich um die am viertmeisten verbreitete Malware handelte. GuLoader wurde ursprünglich zum Herunterladen von Parallax RAT verwendet. Die Malware ist inzwischen aber auch für andere Remote-Access-Trojaner und Infostealer wie Netwire, FormBook und Agent Tesla eingesetzt worden. Die Verbreitung erfolgt in der Regel über umfangreiche E-Mail-Phishing-Kampagnen, die das Opfer dazu verleiten, eine bösartige Datei herunterzuladen und zu öffnen, damit die Malware ihre Arbeit aufnehmen kann.

Darüber hinaus berichtet Check Point Research, dass die Android-Spyware Joker wieder im Geschäft ist und in diesem Monat den dritten Platz auf der Liste der größten mobilen Malware belegt. Sobald Joker installiert ist, kann er SMS-Nachrichten, Kontaktlisten und Geräteinformationen stehlen und das Opfer ohne dessen Zustimmung für kostenpflichtige Premium-Dienste anmelden. Der Anstieg des Schädlings lässt sich zum Teil durch einen Anstieg der Kampagnen erklären, da er kürzlich in einigen Anwendungen im Google Play Store entdeckt wurde.

Die weiteren Trends

Die obigen Veränderungen zeigen, wie stark sich die Bedrohungslandschaft binnen weniger Wochen ändern kann. Die Bedrohungsakteure entwickeln ihre Fähigkeiten und Tools ständig weiter. Privatpersonen und Unternehmen bleibt nichts anderes übrig, als sich über die neuesten Bedrohungen auf dem Laufenden zu halten und zu wissen, wie man sich schützen kann.

Festzustellen bleibt auch, dass der Bildungs-/Forschungssektor nach wie vor die Branche ist, die weltweit am häufigsten ins Visier von Cyberkriminellen gerät. Auf den Plätzen zwei und drei der am häufigsten angegriffenen Sektoren liegen Regierung/Militär und Gesundheitswesen. "Apache Log4j Remote Code Execution" ist wieder die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, und hat damit die Schwachstelle "Web Server Exposed Git Repository Information Disclosure" (Offenlegung von Git-Repository-Informationen) überholt, die 42 Prozent der Unternehmen betroffen hat, so CheckPoint.

Liste der Malware-Familien in Deutschland

FormBook ist in diesem Monat die am weitesten verbreitete Malware, die 4,89 Prozent der Unternehmen in Deutschland schädigt, gefolgt von AgentTesla mit einer Auswirkung von 4,21 Prozent und Emotet mit 2,72 Prozent.

  1. ↑ FormBook – FormBook ist ein Infostealer, der auf Windows-Betriebssysteme abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien gemäß den Befehlen seines C&C herunterladen und ausführen.
  2. ↑ AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Informationsdieb fungiert und in der Lage ist, die Tastatureingaben des Opfers und die Systemtastatur zu überwachen und zu sammeln, Screenshots zu erstellen und Anmeldeinformationen zu einer Reihe von Software zu exfiltrieren, die auf dem Computer des Opfers installiert ist (einschließlich Google Chrome, Mozilla Firefox und dem Microsoft Outlook-E-Mail-Client).
  3. ↓ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder bösartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann über Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.

Am meisten angegriffene Branchen

In diesem Monat blieb der Sektor Bildung/Forschung an erster Stelle der weltweit am meisten angegriffenen Branchen, gefolgt von Regierung/Militär und dem Gesundheitswesen.

Anzeige

In Deutschland sieht die Reihenfolge der am meisten attackierten Sektoren wie folgt aus:

  1. Einzelhandel/Großhandel
  2. Bildung/Forschung
  3. Software-Anbieter

Die am häufigsten ausgenutzten Schwachstellen

In diesem Monat ist "Apache Log4j Remote Code Execution" die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, gefolgt von "Web Server Exposed Git Repository Information Disclosure", die mit einem Anteil von 42 Prozent vom ersten auf den zweiten Platz zurückgefallen ist. Die Schwachstelle "Web Server Malicious URL Directory Traversal" bleibt auf dem dritten Platz, mit einer weltweiten Auswirkung von 39 Prozent.

  1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – In Apache Log4j besteht eine Schwachstelle für die Remotecodeausführung. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
  2. ↓ Web Server Exposed Git Repository Information Disclosure – Es wurde eine Schwachstelle in Git Repository gemeldet, die Informationen preisgibt. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte die unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
  3. ↔ Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Web Servern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.

Top Mobile Malware

Diesen Monat ist AlienBot die am weitesten verbreitete mobile Malware, gefolgt von Anubis und Joker.

  1. ↔ AlienBot – AlienBot ist ein Banking-Trojaner für Android, der im Untergrund als Malware-as-a-Service (MaaS) verkauft wird. Er unterstützt Keylogging, dynamische Overlays für den Diebstahl von Anmeldedaten sowie SMS-Harvesting zur Umgehung von 2FA. Zusätzliche Fernsteuerungsmöglichkeiten werden durch die Verwendung eines TeamViewer-Moduls bereitgestellt.
  2. ↔ Anubis – Anubis ist ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
  3. ↑ Joker – Eine Android-Spyware in Google Play, die entwickelt wurde, um SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Außerdem kann die Malware das Opfer ohne dessen Zustimmung oder Wissen für kostenpflichtige Premium-Dienste anmelden.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, dem Intelligence & Research Arm von Check Point Software Technologies. Die vollständige Liste der weltweit zehn häufigsten Malware-Familien im August finden Sie auf dem Check Point Blog.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Malware-Trend August 2022: Emotet vom Spitzenplatz verdrängt

  1. Wil Ballerstedt sagt:
    28. September 2022 um 16:36 Uhr

    Mist, mein erster Gedanke war: Dieter Thomas Heck. Die älteren werden mich verstehen.

    Antworten

Schreibe einen Kommentar zu Wil Ballerstedt Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.