Top Malware Ranking Februar

Check Point: Neue iranische Mobile-Malware breitet sich aus

, San Carlos, Check Point | Autor: Herbert Wieler

Check Point: Neue iranische Mobile-Malware breitet sich aus

Neuling in die Rangliste der verbreitetsten Mobile Malware – FurBall

Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), hat den Global Threat Index für Februar 2021 veröffentlicht.

Nach der Zerschlagung des Emotet-Botnets im Januar berichten die Experten von Check Point, dass kriminelle Gruppen nun die Lücke mit anderer Malware ausfüllen möchten. International ist das der ähnlich funktionierende Banking-Trojaner Trickbot, in Deutschland jedoch steht Qbot auf Platz Eins – ebenfalls ein Banking-Trojaner, der ähnliche Fähigkeiten vorweisen kann.

Trickbot steht dennoch hierzulande auf dem dritten Platz, bleibt also ebenfalls sehr gefährlich. Als Beispiel für neue Aktivitäten dienen zwei Trickbot-Kampagnen: Die Malware wurde im Februar über eine Phishing-Kampagne verbreitet, die Anwender im Rechts- und Versicherungssektor dazu verleiten sollte, ein .zip-Archiv herunterzuladen, dass eine bösartige JavaScript-Datei enthielt. Sobald diese Datei geöffnet wurde, versuchte sie, eine schädliche Nutzlast von einem Remote-Server herunterzuladen und auszuführen. Zudem spielte Trickbot eine entscheidende Rolle in einer der ausgefeitesten und kostspieligsten Attacken im Jahr 2020: Im September traf die Ryuk-Ransomware die Krankenhauskette und den Anbieter von Dienstleistungen im Gesundheitswesen Universal Health Service (UHS) in den USA. Die Kosten für den Schaden wurden mit 67 Millionen Dollar (56 045 500 Euro) beziffert. Trickbot wurde von den Hackern benutzt, um wichtige Daten in den UHS-Systemen aufzuspüren und zu stehlen. Im Anschluss wurde die Ryuk-Ransomware über Trickbot ausgespielt.

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point

„Trickbot ist aufgrund seiner Vielseitigkeit und seiner Erfolgsbilanz bei früheren Angriffen sehr beliebt geworden,“ erklärt Frau Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point : „Umfassende Schulungen für alle Mitarbeiter sind daher von entscheidender Bedeutung, damit sie die verschiedenen Arten von bösartigen E-Mails erkennen können, welche Trickbot und andere Malware verbreiten.“

Außerdem macht eine mobile Malware auf sich aufmerksam: FurBall. Dieser MRAT (Mobile Remote Access Trojaner) verfügt über viele gefährliche Fähigkeiten, um Menschen über das Smartphone zu belauschen. So ist er in der Lage, die Standorte auszulesen, SMS-Nachrichten oder Tonaufnahmen zu stehlen oder Anrufe aufzuzeichnen. Er wird mit der iranischen APT-Gruppe APT-C-50 in Verbindung gebracht, die wiederrum Kontakt zur iranischen Regierung haben soll. Nun steht FurBall erstmals in den Top 3.

Top 3 Most Wanted Malware für Deutschland:

Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat. Qbot erobert die Spitze und auf Platz zwei schiebt sich FormBook. Den dritten Platz nimmt Trickbot ein.

  1. ↑ Qbot – Qbot – auch bekannt als Qakbot oder Pinkslipbot – ist ein 2008 erstmals entdeckter Banking-Trojaner, der Bankdaten und Tastatureingaben von Benutzern stiehlt. Qbot wird häufig über Spam-E-Mails verbreitet und setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ein, um die Analyse zu erschweren und der Erkennung zu entgehen.
  2. ↑ FormBook – FormBook ist ein InfoStealer, der sich an das Windows-Betriebssystem richtet. Er wurde erstmals 2016 entdeckt und wird aufgrund seiner starken Ausweichmethoden und seines relativ niedrigen Preises in illegalen Hacking-Foren vermarktet. FormBook sammelt Anmeldeinformationen aus verschiedenen Webbrowsern sowie Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß seinen C&C-Aufträgen herunterladen und ausführen.
  3. ↑ Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.

Die Top 3 Most Wanted Mobile Malware:

Die Spitze hält Hiddad, während xhelper auf dem zweiten Rang verbleibt. An dritter Stelle folgt nun FurBall – erstmals unter den Top 3.

  1. ↔ Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
  2. ↔ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
  3. ↑ FurBall – FurBall ist ein Android-MRAT (Mobile Remote Access Trojan), der von APT-C-50, einer iranischen APT-Gruppe, die mit der iranischen Regierung in Verbindung steht, betrieben wird. Diese Malware wurde in mehreren Kampagnen im Jahr 2017 eingesetzt und ist noch aktiv. Zu den Fähigkeiten von FurBall gehören das Stehlen von SMS-Nachrichten, Anrufprotokollen und Tonaufnahmen, die Anrufaufzeichnung, Sammlung von Mediendateien oder Auslesung der Standortverfolgung – um nur einige zu nennen.

Die Top 3 Most Wanted Schwachstellen:

Die Schwachstelle Web Server Exposed Git Repository Information Disclosure erringt mit 48 Prozent weltweiter Auswirkung den ersten Rang. Auf dem zweiten verbleibt HTTP Headers Remote Code Execution (CVE-2020-13756) mit 46 Prozent. MVPower DVR Remote Code Execution stürzt mit 45 Prozent auf Rang Drei.

  1. ↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
  2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
  3. ↓ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 3 Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.