Top Malware im April 2023:Qbot behauptet die Pole Position
17. Mai 2023Check Point Research deckte eine umfangreiche Malspam-Kampagne für den Trojaner Qbot auf, der im Bedrohungsindex des letzten Monats den zweiten Platz belegte. In Deutschland bleiben Einzel- und Großhandel die am meisten attackierten Sektoren. Diese Ergebnisse stammen aus dem Global Threat Index für April 2023.
Die Qbot-Kampagne aus dem letzten Monat verwendet eine neuartige Übertragungsmethode, bei der den Zielpersonen eine E-Mail samt Anhang geschickt wird, der geschützte PDF-Dateien enthält. Sobald diese heruntergeladen sind, wird die Qbot-Malware auf dem Gerät installiert. Die Security-Forscher stellten fest, dass der Malspam in mehreren Sprachen versendet wurde, was bedeutet, dass Organisationen weltweit angegriffen werden können.
Im vergangenen Monat kehrte auch Mirai zurück, eine der beliebtesten IoT-Malwares. Forscher entdeckten, dass Mirai eine neue Zero-Day-Schwachstelle (CVE-2023-1380) ausnutzt, um TP-Link-Router anzugreifen und sie zu seinem Botnet hinzuzufügen, das für einige der meistverteilten DDoS-Angriffe aller Zeiten genutzt wurde. Diese jüngste Kampagne folgt auf einen umfassenden Bericht von Check Point Research (CPR) über die Verbreitung von IOT-Angriffen.
Eine Veränderung gab es auch bei den von Cyber-Angriffen betroffenen Branchen in Deutschland: Zwar nicht auf dem ersten Platz, denn dort verbleibt der meistattackierte Bereich der Einzel- und Großhandel. Die ISP/MSP (Software-Dienstleister) rücken jedoch auf den zweiten Platz vor, während das Gesundheitswesen im April auf Platz 3 der meistattackierten Sektoren rutschte.
Angriffe auf Einrichtungen des Gesundheitswesens sind gut dokumentiert, und einige Länder sind weiterhin ständigen Angriffen ausgesetzt. Die Branche ist nach wie vor ein lukratives Ziel für Hacker, da sie dadurch potenziell Zugang zu vertraulichen Patientendaten und Zahlungsinformationen erhalten. Dies könnte Auswirkungen auf Pharmaunternehmen haben, da es zu undichten Stellen bei klinischen Versuchen oder neuen Medikamenten und Geräten führen könnte.
Top-Malware in Deutschland
- Qbot – Qbot, auch bekannt als Qakbot, ist ein Banking-Trojaner, der erstmals 2008 auftauchte. Er wurde entwickelt, um die Bankdaten und Tastatureingaben eines Benutzers zu stehlen. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und die Erkennung zu umgehen.
- Aufsteiger NanoCore – NanoCore ist ein Fernzugriffs-Trojaner, der auf Benutzer von Windows-Betriebssystemen abzielt und erstmals 2013 in freier Wildbahn beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen wie Bildschirmaufnahmen, Kryptowährungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.
- Aufsteiger AgentTesla – AgentTesla ist ein hochentwickeltes RAT, das als Keylogger und Passwort-Dieb fungiert und seit 2014 aktiv ist. AgentTesla kann die Tastatureingaben und die Zwischenablage des Opfers überwachen und sammeln, Screenshots aufzeichnen und Anmeldeinformationen für eine Vielzahl von Software, die auf dem Computer des Opfers installiert ist, exfiltrieren (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wird auf verschiedenen Online-Märkten und Hacking-Foren verkauft.
Die Top 3 Schwachstellen:
Im vergangenen Monat war Web Servers Malicious URL Directory Traversal die am häufigsten ausgenutzte Schwachstelle, von der 48 Prozent der Unternehmen weltweit betroffen waren, gefolgt von Apache Log4j Remote Code Execution mit 44 Prozent und HTTP Headers Remote Code Execution mit einer weltweiten Auswirkung von 43 Prozent.
- Aufsteiger Web Servers Malicious URL Directory Traversal: Auf verschiedenen Webservern gibt es eine Schwachstelle bei der Durchquerung von Verzeichnissen. Die Schwachstelle ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht richtig bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht-authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
- Absteiger Apache Log4j Remote Code Execution (CVE-2021-44228): Es gibt eine Schwachstelle in Apache Log4j, die die Ausführung von entferntem Code ermöglicht. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
- Absteiger HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756): HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.
Top 3 Mobile Malware
Im letzten Monat war Ahmyth die am weitesten verbreitete mobile Malware, gefolgt von Anubis und Hiddad. Bei AhMyth handelt es sich um einen Remote Access Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Senden von SMS-Nachrichten und das Aktivieren der Kamera durchführen.
Anubis ist ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
Bei Hiddad handelt es sich um eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, sie kann aber auch Zugang zu wichtigen Sicherheitsdetails des Betriebssystems erhalten.(rhh)
Die vollständige Liste der Top Malware April finden Sie im Check Point Blog.