Nach der Zerschlagung des Emotet-Botnets im Januar ist noch unsicher, wer in die Fußstapfen treten wird. Kandidaten gibt es viele, wie Trickbot oder Dridex oder Qbot. Nun qualifiziert sich ein weiterer Banking-Trojaner für das Rennen: IcedID. In Deutschland ließ die Malware Dridex und Qbot hinter sich und steigt als Neuling direkt auf Platz eins ein.
Im März verbreiteten verschiedene Spam-Kampagnen den Trojaner IcedID. Eine davon missbrauchte mal wieder Covid-19 als Thema, um Nutzer zu verleiten, schädliche E-Mail-Anhänge zu öffnen – die meisten waren Microsoft-Word-Dokumente, welche verseuchte Makro-Funktionen beinhalteten.
Hinter diesen verbarg sich die Installations-Datei der Malware IcedID. Nach der Ausrollung beginnt der Trojaner damit, Zahlungsdetails, Zugangsdaten und andere sensible Informationen zu klauen. Außerdem wurde IcedID bereits als Türöffner für Ransomware-Attacken eingesetzt.
Top 3 Most Wanted Malware für Deutschland:
IcedID erobert die Spitze und verweist die Veteranen Qbot sowie Dridex auf die Plätze zwei und drei.
- IcedID - Banking-Trojaner, der erstmals im September 2017 auftauchte. Er nutzt in der Regel andere bekannte Banking-Trojaner, darunter Emotet, Ursnif und Trickbot, um verbreiten zu lassen. IcedID stiehlt Finanzdaten von Benutzern, sowohl über Umleitungsangriffe (installiert einen lokalen Proxy, um Benutzer auf gefälschte Klon-Seiten umzuleiten) als auch über Web-Injektionsangriffe (injiziert einen Browserprozess, um gefälschte Inhalte überlagert auf der Originalseite zu präsentieren).
- Qbot, auch bekannt als Qakbot oder Pinkslipbot – 2008 erstmals entdeckter Banking-Trojaner, der Bankdaten und Tastatureingaben von Benutzern stiehlt. Qbot wird häufig über Spam-E-Mails verbreitet und setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ein, um die Analyse zu erschweren und der Erkennung zu entgehen.
- Dridex - Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
Die Top 3 Most Wanted Mobile Malware:
Hier bewegte sich niemand: Die Spitze hält Hiddad, während xhelper auf dem zweiten Rang verbleibt. An dritter Stelle sitzt der Neuling FurBall.
1. Hiddad - Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
2. xhelper - bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
3. FurBal - Android-MRAT (Mobile Remote Access Trojan), der von APT-C-50, einer iranischen APT-Gruppe, die mit der iranischen Regierung in Verbindung steht, betrieben wird. Diese Malware wurde in mehreren Kampagnen im Jahr 2017 eingesetzt und ist noch aktiv. Zu den Fähigkeiten von FurBall gehören das Stehlen von SMS-Nachrichten, Anrufprotokollen und Tonaufnahmen, die Anrufaufzeichnung, Sammlung von Mediendateien oder Auslesung der Standortverfolgung – um nur einige zu nennen.
Die Top 3 Most Wanted Schwachstellen:
Die Schwachstelle HTTP Headers Remote Code Execution (CVE-2020-13756) erringt mit 45 Prozent weltweiter Auswirkung den ersten Rang. Auf den zweiten schiebt sich MVPower DVR Remote Code Execution mit 44 Prozent. Dasan GPON Router Authentication Bypass (CVE-2018-10561) dringt auf Platz drei vor mit ebenfalls rund 44 Prozent.
- HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
- MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
- Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Eine Schwachstelle, die es erlaubt, die Authentifizierung in Dasan GPON-Routern zu umgehen. Die erfolgreiche Ausnutzung dieser Schwachstelle gibt Hackern die Möglichkeit, an sensible Informationen zu gelangen und sich unbefugten Zugang zum betroffenen System zu verschaffen.
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 3 Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.