Check Point: Top Malware Ranking März

Neuer Banking-Trojaner IcedID betritt die Malware-Bühne

, San Carlos, Check Point | Autor: Herbert Wieler

Neuer Banking-Trojaner IcedID betritt die Malware-Bühne

Top Malware für März 2021

Check Points Sicherheitsforscher küren IcedID zur aggressivsten Malware des März 2021. Es handelt sich um einen Banking-Trojaner, womit die ersten drei Plätze weiterhin von dieser Art Schadprogramm belegt bleiben.

Nach der Zerschlagung des Emotet-Botnets im Januar ist noch unsicher, wer in die Fußstapfen treten wird. Kandidaten gibt es viele, wie Trickbot oder Dridex oder Qbot. Nun qualifiziert sich ein weiterer Banking-Trojaner für das Rennen: IcedID. In Deutschland ließ die Malware Dridex und Qbot hinter sich und steigt als Neuling direkt auf Platz eins ein. Seit 2017 ist dieses Schadprogramm aktiv und nutzt gerne Kollegen, wie die zuvor genannten, um sich verbreiten zu lassen. Ziel ist auch hier der Diebstahl von Bankdaten der Menschen.

Im März verbreiteten verschiedene Spam-Kampagnen den Trojaner IcedID. Eine davon missbrauchte mal wieder Covid-19 als Thema, um Nutzer zu verleiten, schädliche E-Mail-Anhänge zu öffnen – die meisten waren Microsoft-Word-Dokumente, welche verseuchte Makro-Funktionen beinhalteten. Hinter diesen verbarg sich die Installations-Datei der Malware IcedID. Nach der Ausrollung beginnt der Trojaner damit, Zahlungsdetails, Zugangsdaten und andere sensible Informationen zu klauen. Außerdem wurde IcedID bereits als Türöffner für Ransomware-Attacken eingesetzt.

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point

„IcedID gibt es schon seit einigen Jahren, wurde aber erst kürzlich in großem Umfang eingesetzt. Dies zeigt, dass Cyber-Kriminelle weiterhin ihre Taktik anpassen, um Organisationen aller Art zu schädigen,“ erklärt Frau Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point : „IcedID kann besonders gut Sicherheitslösungen ausweichen, und kennt eine Reihe von Techniken, um finanzielle Informationen zu stehlen. Umfassende Schulungen für alle Mitarbeiter sind von entscheidender Bedeutung, damit diese mit den erforderlichen Fähigkeiten ausgestattet werden, um die Arten von Spam-E-Mails zu erkennen, über die IcedID – und ähnliche Malware – verbreitet wird.“

Top 3 Most Wanted Malware für Deutschland:

Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat. IcedID erobert die Spitze und verweist die Veteranen Qbot sowie Dridex auf die Plätze zwei und drei.

  1. ↑ IcedID – IcedID ist ein Banking-Trojaner, der erstmals im September 2017 auftauchte. Er nutzt in der Regel andere bekannte Banking-Trojaner, darunter Emotet, Ursnif und Trickbot, um verbreiten zu lassen. IcedID stiehlt Finanzdaten von Benutzern, sowohl über Umleitungsangriffe (installiert einen lokalen Proxy, um Benutzer auf gefälschte Klon-Seiten umzuleiten) als auch über Web-Injektionsangriffe (injiziert einen Browserprozess, um gefälschte Inhalte überlagert auf der Originalseite zu präsentieren).
  2. ↓ Qbot – Qbot – auch bekannt als Qakbot oder Pinkslipbot – ist ein 2008 erstmals entdeckter Banking-Trojaner, der Bankdaten und Tastatureingaben von Benutzern stiehlt. Qbot wird häufig über Spam-E-Mails verbreitet und setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ein, um die Analyse zu erschweren und der Erkennung zu entgehen.
  3. ↑ Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

Die Top 3 Most Wanted Mobile Malware:

Hier bewegte sich niemand: Die Spitze hält Hiddad, während xhelper auf dem zweiten Rang verbleibt. An dritter Stelle sitzt der Neuling FurBall.

  1. ↔ Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
  2. ↔ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
  3. ↔ FurBall – FurBall ist ein Android-MRAT (Mobile Remote Access Trojan), der von APT-C-50, einer iranischen APT-Gruppe, die mit der iranischen Regierung in Verbindung steht, betrieben wird. Diese Malware wurde in mehreren Kampagnen im Jahr 2017 eingesetzt und ist noch aktiv. Zu den Fähigkeiten von FurBall gehören das Stehlen von SMS-Nachrichten, Anrufprotokollen und Tonaufnahmen, die Anrufaufzeichnung, Sammlung von Mediendateien oder Auslesung der Standortverfolgung – um nur einige zu nennen.

Die Top 3 Most Wanted Schwachstellen:

Die Schwachstelle HTTP Headers Remote Code Execution (CVE-2020-13756) erringt mit 45 Prozent weltweiter Auswirkung den ersten Rang. Auf den zweiten schiebt sich MVPower DVR Remote Code Execution mit 44 Prozent. Dasan GPON Router Authentication Bypass (CVE-2018-10561) dringt auf Platz drei vor mit ebenfalls rund 44 Prozent.

  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
  2. ↑ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
  3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Eine Schwachstelle, die es erlaubt, die Authentifizierung in Dasan GPON-Routern zu umgehen. Die erfolgreiche Ausnutzung dieser Schwachstelle gibt Hackern die Möglichkeit, an sensible Informationen zu gelangen und sich unbefugten Zugang zum betroffenen System zu verschaffen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 3 Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.