Top Malware

Check Point Top Malware im Mai 2023: Guloader auf dem Vormarsch

Check Point Top Malware im Mai 2023: Guloader auf dem Vormarsch

Check Point hat seinen globalen Bedrohungsindex für Mai 2023 veröffentlicht. Die Security-Forscher berichteten über eine neue Version des Shellcode-basierten Downloaders GuLoader, der im vergangenen Monat die weltweit am weitesten verbreitete Malware war. Mit vollständig verschlüsselten Nutzdaten und Anti-Analyse-Techniken kann die neueste Form unerkannt in bekannten öffentlichen Cloud-Diensten, einschließlich Google Drive, gespeichert werden. Währenddessen belegten Qbot und Anubis den ersten Platz auf ihren jeweiligen Listen, und der Bereich Bildung/Forschung blieb die am häufigsten missbrauchte Branche.

Die GuLoader-Malware , die von Cyberkriminellen häufig verwendet wird, um die Erkennung durch Antivirenprogramme zu umgehen, hat sich stark verändert. Die jüngste Version nutzt eine ausgeklügelte Technik, um Code in einem legitimen Prozess zu ersetzen und so die Sicherheits-Tools zur Prozessüberwachung zu umgehen. Die Nutzdaten sind vollständig verschlüsselt und werden unerkannt in bekannten öffentlichen Cloud-Diensten, darunter Google Drive, gespeichert. Diese einzigartige Mischung aus Verschlüsselung, rohem Binärformat und Trennung vom Loader macht die Payloads für Antivirenprogramme unsichtbar und stellt eine erhebliche Bedrohung für Nutzer und Unternehmen weltweit dar.

Auch in Deutschland ist GuLoader auf dem Vormarsch und steigt in diesem Monat auf Platz 3 der meistverbreiteten Malware ein. Qbot verbleibt weiterhin auf Platz 1. Trotz der Bemühungen, die Verbreitung von Malware durch das Blockieren von Makros in Office-Dateien zu verlangsamen, haben die Betreiber von Qbot ihre Verbreitung und Auslieferung schnell angepasst. Kürzlich wurde festgestellt, dass Qbot einen Fehler in der Dynamic Link Library (DLL) im Windows 10 WordPad-Programm ausnutzt, um Computer zu infizieren. Platz 2 belegt erstmals wieder Formbook, das im letzten Monat aus der Top 3 verschwunden war.

Starke Veränderungen hat Check Point Research bei den meistangegriffenen Branchen und Bereichen in Deutschland festgestellt. Einzel- und Großhandel sind vom Gesundheitssektor vom ersten Platz verdrängt worden und nicht einmal mehr in der Top 3 gelistet. Platz 2 belegen erstmals wieder die Herstellungs- und Fertigungsbranche, gefolgt vom Finanz- und Bankwesen auf Platz 3.

Maya Horowitz, VP Research bei Check Point Software, analysiert die Ergebnisse der jüngsten Untersuchung:

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point

„Öffentliche Tools und Dienste werden zunehmend von Cyberkriminellen ausgenutzt, um Malware-Kampagnen zu verbreiten und zu speichern. Die Vertrauenswürdigkeit einer Quelle garantiert keine vollständige Sicherheit mehr. Dies unterstreicht den dringenden Bedarf an Aufklärung über verdächtige Aktivitäten. Wir raten dringend davon ab, persönliche Daten preiszugeben oder Anhänge herunterzuladen, wenn die Authentizität und der harmlose Charakter der Anfrage nicht bestätigt wurden. Darüber hinaus ist es von entscheidender Bedeutung, fortschrittliche Sicherheitslösungen wie Check Point Horizon XDR/XPR im Einsatz zu haben, die effektiv erkennen können, ob ein vermeintlich harmloses Verhalten tatsächlich bösartig ist, und so einen zusätzlichen Schutz gegen hochentwickelte Bedrohungen bieten.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

  1. ↔ Qbot – Qbot AKA Qakbot ist eine Mehrzweck-Malware, die erstmals im Jahr 2008 auftauchte. Sie wurde entwickelt, um die Anmeldedaten eines Benutzers zu stehlen, Tastatureingaben aufzuzeichnen, Cookies von Browsern zu stehlen, Bankaktivitäten auszuspionieren und zusätzliche Malware zu installieren. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und der Entdeckung zu entgehen. Seit 2022 hat er sich zu einem der am weitesten verbreiteten Trojaner entwickelt.
  2. ↑ Formbook – Formbook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er über starke Umgehungstechniken und einen relativ niedrigen Preis verfügt. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien herunterladen und ausführen, wenn es von seinem C&C angewiesen wird.
  3. ↑ Guloader– Guloader ist ein Downloader, der seit Dezember 2019 weit verbreitet ist. Als er zum ersten Mal auftauchte, wurde GuLoader zum Herunterladen von Parallax RAT verwendet, wurde aber auch für andere Fernzugriffstrojaner und Infodiebe wie Netwire, FormBook und Agent Tesla eingesetzt.

Top 3 Schwachstellen

Im vergangenen Monat war „Web Servers Malicious URL Directory Traversal“ die am häufigsten ausgenutzte Schwachstelle, von der 49 % der Unternehmen weltweit betroffen waren, gefolgt von „Apache Log4j Remote Code Execution“, von der 45 % der Unternehmen weltweit betroffen waren. „HTTP Headers Remote Code Execution“ war die am dritthäufigsten genutzte Schwachstelle mit einer weltweiten Auswirkung von 44 %

  1. ↔ Web Server Malicious URL Directory Traversal – Es existiert eine Directory Traversal Schwachstelle auf verschiedenen Web Servern. Die Schwachstelle ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Directory Traversal Patterns nicht richtig bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht-authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
  2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Es gibt eine Schwachstelle in Apache Log4j, durch die Remotecode ausgeführt werden kann. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – HTTP Headers erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Opfercomputer auszuführen.

Top 3 Mobile Malware

Im letzten Monat belegte Anubis den ersten Platz der am weitesten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad.

  1. ↑ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
  2. ↓ AhMyth – AhMyth ist ein Remote-Access-Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, die in der Regel zum Stehlen sensibler Informationen verwendet werden.
  3. ↔ Hiddad – Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland:

  1. ↑ Gesundheitssektor (Healthcare)
  2. ↑ Herstellung und Fertigung (Manufacturing)
  3. ↑ Finanzen und Bankwesen (Finance/Banking)

Der Global Threat Impact Index von Check Point und seine ThreatCloud Map werden von Check Points ThreatCloud AI unterstützt: dem Gehirn hinter Check Points Sicherheit. ThreatCloud AI liefert Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit über 40 KI- und Machine-Learning-Technologien, die aufkommende Bedrohungen identifizieren und blockieren, sowie mit exklusiven Forschungsdaten von Check Point Research, dem Forschungs- und Entwicklungszweig von Check Point Software Technologies.