Check Point warnt vor neuen Malware-Bedrohungen

Check Point erkennt in seiner monatlichen Analyse der größten Malware-Bedrohungen eine Veränderung der eingesetzten Schädlinge. Global taucht Hancitor zum ersten Mal unter den 10 meistbenutzten Angriffswerkzeugen auf.

In Deutschland erkennt man einen signifikanten Anstieg von Attacken mit Yakes, Fareit und Adwind:

Fareit ist ein Trojaner, der es in der Regel auf Zugangsdaten und Passwörter abgesehen hat. Der Schädling wurde 2012 zum ersten Mal entdeckt und liest Informationen aus dem Speicher des Web Browsers aus. Daher gehören FTP und E-Mail-Zugangsdaten, Verlaufsdateien, Serverinformationen sowie Details zu Ports ebenfalls zu seinen Zielen.

Obwohl Yakes nur Windows-Geräte infiziert, nimmt der Schädling eine hohe Position bei den größten Bedrohungen ein. Dazu erstellt er einen neuen Sychost-Prozess auf dem Endgerät des Opfers und lädt dadurch Schadcode auf die Maschine. Im nächsten Schritt wird ein Server per Fernzugriff kontaktiert und Daten ausgetauscht. Diese sind in Regel mit Base64 verschlüsselt und versucht über eine URL weitere Malware auf das infizierte System zu laden.

Adwind zielt auf Systeme mit Java Runtime-Unterstützung ab. Durch eine Backdoor kommuniziert der Schädling nach außen und kann verschiedene Befehle für die Angreifer ausführen. Unter anderem ist der in der Lage, Nachrichten auf dem Bildschirm des Opfers anzeigen zu lassen, URLs zu öffnen oder weiteren Schadcode herunterzuladen. Nachträglich geladene Plug-Ins erweitern Adwind mit neuen Funktionen und erlauben die Fernsteuerung des Endgerätes.

Global führt das Botnet Kelihos die Liste der größten Bedrohungen an. Die Malware ist bereits seit 2010 aktiv und Untersuchungen gehen davon aus, dass weltweit 12 Prozent aller Organisationen von ihr betroffen sind. Ursprünglich war Kelihos eine relative plumpe Spam-Kampagne, entwickelte sich aber dann zu einem mietbaren Botnetz weiter, dass Spam gegen Bezahlung an gewünschte Ziele schickt.

Bereits 2011 wurde das Netzwerk zum ersten Mal zerschlagen, allerdings schaffen es die Kriminellen immer wieder neue Bots zu rekrutieren und das Netzwerk noch schlagkräftiger wieder auferstehen zu lassen. Aktuell sind über 300.000 Endpunkte infiziert – jeder davon könnte über 200.000 Spam-E-Mails pro Tag verschicken.

Februar 2017 Top Bedrohungen weltweit

  • Kelihos – Botnet, spezialisiert auf Bitcoin-Diebstahl und Spamming. Durch Peer-to-Peer Kommunikation kann jeder Endpunkt zum Node für Command & Control Server werden.
  • HackerDefender – User-Mode Rootkit für Windows, durch das Daten, Prozesse und Registry-Informationen versteckt werden können. Zudem kann HackerDefender eine Hintertür und eine Portumleitung implementieren. Dieser nutzt existierende TCP-Ports und tarnt so das Backdoor.
  • Cryptowall war ursprünglich ein Doppelgänger der Cryptolocker Ransomware, hat sich aber weiterentwickelt. Aktuell ist Cryptowall einer der meistgenutzten Verschlüsselungsschädlinge der Welt. Es setzt auf AES-Chiffrierung und verschleiert seine C&C-Kommunikation über das TOR- Netzwerk.

Im Bereich Mobile gibt es mit Hiddad eine zunehmende Bedrohung für Androidgeräte. Dabei wird Schadcode in legitime Applikation geladen und versteckt, um über Apps-Stores auf die Geräte der Opfer zu gelangen. Dabei zielt Hiddad auf das Anzeigen von ungewollter Werbung ab, kann aber auch Sicherheitsdetails aus dem Betriebssystem auslesen und private Informationen abgreifen.

IAVCworld per E-Mail folgen