Top Malware Januar 2024:VexTrio-Broker-Operation auf Basis eines Traffic Distribution Systems
15. Februar 2024
Im Januar 2024 haben die Sicherheitsforscher von Check Point Software Technologies ein weit verbreitetes Traffic Distribution System (TDS) namens VexTrio identifiziert, das über ein Netzwerk von mehr als 70.000 kompromittierten Websites über 60 Partner unterstützt hat. In Deutschland bleibt der Bildungs- und Forschungssektor der am stärksten von Cyber-Angriffen betroffene Bereich hinter dem Gesundheitswesen und der neu in die Top 3 eingestiegenen Kommunikationsbranche.
Das aufgedeckte VexTrio ist seit mindestens 2017 aktiv und arbeitet mit Dutzenden von Partnern zusammen, um bösartige Inhalte über ein ausgeklügeltes TDS zu verbreiten. Die Aktivitäten von VexTrio, die ein ähnliches System wie legale Marketing-Affiliate-Netzwerke verwenden, sind oft schwer zu erkennen.
Obwohl bereits seit mehr als sechs Jahren aktiv, ist das Ausmaß seiner Aktivitäten weitgehend unbemerkt geblieben. Dies liegt daran, dass es kaum Anhaltspunkte für die Zuordnung zu bestimmten Bedrohungsakteuren oder Angriffsketten gibt. Das macht es aufgrund seines ausgedehnten Netzwerks und seiner fortschrittlichen Operationen zu einem erheblichen Cyber-Sicherheitsrisiko.
„Cyber-Kriminelle haben sich von reinen Hackern zu Täuschungskünstlern entwickelt. VexTrio ist ein weiterer Beweis dafür, wie kommerziell die Branche geworden ist“, betont Maya Horowitz, VP Research bei Check Point Software. „Um sich zu schützen, sollten Einzelpersonen und Unternehmen regelmäßige Cybersecurity-Updates vornehmen, robusten Endpunktschutz einsetzen und im Internet besonders wachsam sein. Informiert bleiben und proaktiv handeln ist die beste Verteidigung gegen sich stets weiterentwickelnde und neue Cyber-Bedrohungen.”
Zum ersten Mal enthält der Index von Check Point eine Rangliste der am weitesten verbreiteten Ransomware-Gruppen, die auf den Aktivitäten von mehr als 200 sogenannter „Shames“-Websites basiert. Auf diesen Seiten veröffentlichen und verhöhnen die Hacker-Gruppen ihre Opfer.
Im vergangenen Monat warLockBit3 die am weitesten verbreitete Gruppe, die für 20 Prozent der veröffentlichten Angriffe verantwortlich zeichnete. Im Januar fielen ihr unter anderem die Sandwich-Kette Subway und das Saint Anthony Hospital in Chicago zum Opfer.
Als Top-Malware in Deutschland gilt:
Nanocore: Nanocore ist ein Fernzugriffs-Trojaner (RAT), der auf Benutzer von Windows-Betriebssystemen zielt und erstmals 2013 beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen, wie Bildschirmaufnahmen, Krypto-Währungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.
FakeUpdates: FakeUpdates (AKA SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Payloads auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Kompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
Qbot: Qbot AKA Qakbot ist eine Mehrzweck-Malware, die erstmals 2008 auftauchte. Sie wurde entwickelt, um die Anmeldedaten eines Benutzers zu stehlen, Tastatureingaben aufzuzeichnen, Cookies von Browsern zu stehlen, Bankaktivitäten auszuspionieren und zusätzliche Malware zu installieren. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und der Entdeckung zu entgehen. Seit 2022 hat er sich zu einem der am weitesten verbreiteten Trojaner entwickelt.
!!!
Im vergangenen Monat war „Command Injection Over http“ die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen waren, gefolgt von „Web Servers Malicious URL Directory Traversal“ mit 41 Prozent und „HTTP Headers Remote Code Execution“ mit einer weltweiten Auswirkung von 40 Prozent.
Im vergangenen Monat stand Anubis weiterhin an erster Stelle der am häufigsten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad:
!!!
Anubis: Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
AhMyth: AhMyth ist ein Remote Access Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler
Hiddad: Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen. (rhh)
!!!
Check Point Software Technologies
