Check Point Research hat seinen neuesten Global Threat Index für Dezember 2019 veröffentlicht. Die Experten berichten, dass Emotet sich mit einer Reihe von Spam-E-Mail-Kampagnen wie 'Support Greta Thunberg - Zeitperson des Jahres 2019' und 'Weihnachtsfeier!' erfolgreich verbreitete.
Die E-Mails enthielten ein bösartiges Microsoft Word Dokument, das, wenn es vom Empfänger geöffnet wird, Emotet auf den Computer herunterlädt. Der Trojaner dient dann als Hintertür für weitere Schadprogramme.
Im Dezember gab es auch einen deutlichen Anstieg der Versuche, die Command Injection Over HTTP-Schwachstelle in SQL auszunutzen, wobei 33 Prozent der Organisationen weltweit ins Visier genommen wurden. Diese Schwachstelle stieg von Platz 5 der am meisten ausgebeuteten Schwachstellen im November auf die Spitzenposition.
Die bei dem Angriff verwendete, schädliche Datei enthielt zudem eine Reihe von Links, die bei Aktivierung einige Schwachstellen in mehreren IoT-Geräten von Herstellern wie D-Link, Huawei und RealTek ausnutzten, um diese in Bot-Netze zu integrieren.
Top 3 ‘Most Wanted’ Malware für Deutschland:
Emotet verteidigte mal wieder seine Spitzenposition, gefolgt vom wiedererstarkten Agent Tesla und Trickbot, dessen Aktivitäten ebenfalls zunahmen.
- Emotet - ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
- AgentTesla - ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft.
- Trickbot - eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.
Die Top 3 ‘Most Wanted’ Mobile Malware:
Auf den vorderen Plätzen halten sich weiterhin der Neuling xHelper und das Schadprogramm Guerilla.
- xHelper - eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
- Guerrilla – ein Android-Trojaner, der in verschiedene, echte Anwendungen heimlich eingebettet ist und betrügerische Daten herunterladen kann. Guerrilla generiert Werbeeinnahmen für die Malware-Entwickler.
- Hiddad – eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter weitergibt. Seine Hauptfunktion ist das Einblenden von Anzeigen. Allerdings ist sie auch in der Lage, sich Zugriff auf wichtige Sicherheitsdetails zu verschaffen, die in das Betriebssystem integriert sind. Diese Funktion ermöglicht es Angreifern sensible Benutzerdaten abzugreifen.
Top 3 der ausgenutzten Schwachstellen:
Die Schwachstelle Command Injection Over HTTP in SQL war die am häufigsten ausgenutzte im Dezember, die 33 Prozent der Unternehmen weltweit betraf. An zweiter Stelle stand MVPower DVR Remote Code Execution, die 32 Prozent der Unternehmen gefährlich wurde, gefolgt von Web Server Exposed Git Repository Information Disclosure mit 29 Prozent.
- SQL Injection (verschiedene Techniken) – Einfügen einer SQL-Abfrage in die Eingabe vom Client zur Anwendung, während eine Schwachstelle in der Software einer Anwendung ausgenutzt wird.
- OpenSSL TLS DTLS Heartbeat Information Disclosure – eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
- MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.