Malware Ranking

Top-Malware im August: Emotet wird von FormBook vom Spitzenplatz verdrängt

, San Carlos, Check Point | Autor: Herbert Wieler

Top-Malware im August: Emotet wird von FormBook vom Spitzenplatz verdrängt

Check Point hat seinen neuesten Global Threat Index für August 2022 veröffentlicht. CPR berichtet, dass FormBook nun die am weitesten verbreitete Malware ist und Emotet ablöst, das diese Position seit seinem Wiederauftauchen im Januar innehatte.

Check Point Research berichtet, dass FormBook die am weitesten verbreitete Malware ist, während die Android-Spyware Joker den dritten Platz im mobilen Index belegt. Apache Log4j Remote Code Execution steht ebenfalls wieder an erster Stelle der meistgenutzten Schwachstellen

FormBook ist ein Infostealer, der es auf Windows-Betriebssysteme abgesehen hat. Sobald er installiert ist, kann er Anmeldeinformationen abfangen, Screenshots sammeln, Tastatureingaben überwachen und protokollieren sowie Dateien gemäß seinen Befehlen herunterladen und ausführen (C&C). Seit seiner ersten Entdeckung im Jahr 2016 hat er sich einen Namen gemacht und wird in Untergrund-Hackerforen als Malware-as-a-Service (MaaS) vermarktet, die für ihre starken Umgehungstechniken und ihren relativ niedrigen Preis bekannt ist.

Im August nahm die Aktivität von GuLoader rapide zu, was dazu führte, dass es sich um die am viertmeisten verbreitete Malware handelte. GuLoader wurde ursprünglich zum Herunterladen von Parallax RAT verwendet, ist aber inzwischen auch für andere Remote-Access-Trojaner und Infostealer wie Netwire, FormBook und Agent Tesla eingesetzt worden. Die Verbreitung erfolgt in der Regel über umfangreiche E-Mail-Phishing-Kampagnen, die das Opfer dazu verleiten, eine bösartige Datei herunterzuladen und zu öffnen, damit die Malware ihre Arbeit aufnehmen kann.

Darüber hinaus berichtet Check Point Research, dass die Android-Spyware Joker wieder im Geschäft ist und in diesem Monat den dritten Platz auf der Liste der größten mobilen Malware belegt. Sobald Joker installiert ist, kann er SMS-Nachrichten, Kontaktlisten und Geräteinformationen stehlen und das Opfer ohne dessen Zustimmung für kostenpflichtige Premium-Dienste anmelden. Der Anstieg des Schädlings lässt sich zum Teil durch einen Anstieg der Kampagnen erklären, da er kürzlich in einigen Anwendungen im Google Play Store entdeckt wurde.

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point

„Die Veränderungen, die wir in diesem Monat im Index sehen – von Emotet, das vom ersten auf den fünften Platz zurückfiel, bis hin zu Joker, der nun die dritthäufigste mobile Malware ist – zeigen, wie schnell sich die Bedrohungslandschaft ändern kann“, sagt Maya Horowitz, VP Research bei Check Point Software . „Dies sollte sowohl Privatpersonen als auch Unternehmen daran erinnern, wie wichtig es ist, sich über die neuesten Bedrohungen auf dem Laufenden zu halten und zu wissen, wie man sich schützen kann. Die Bedrohungsakteure entwickeln sich ständig weiter, und das Auftauchen von FormBook zeigt, dass wir in puncto Sicherheit niemals selbstgefällig sein dürfen und einen ganzheitlichen, präventiven Ansatz für Netzwerke, Endpunkte und die Cloud verfolgen müssen.“

CPR enthüllte diesen Monat auch, dass der Bildungs-/Forschungssektor nach wie vor die Branche ist, die weltweit am häufigsten ins Visier von Cyberkriminellen gerät. Auf den Plätzen zwei und drei der am häufigsten angegriffenen Sektoren liegen Regierung/Militär und Gesundheitswesen. „Apache Log4j Remote Code Execution“ ist wieder die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, und hat damit die Schwachstelle „Web Server Exposed Git Repository Information Disclosure“ (Offenlegung von Git-Repository-Informationen) überholt, die 42 Prozent der Unternehmen betroffen hat.

Die wichtigsten Malware-Familien in Deutschland

Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

FormBook ist in diesem Monat die am weitesten verbreitete Malware, die 4,89 Prozent der Unternehmen in Deutschland schädigt, gefolgt von AgentTesla mit einer Auswirkung von 4,21 Prozent und Emotet mit 2,72 Prozent.

  1. ↑ FormBook – FormBook ist ein Infostealer, der auf Windows-Betriebssysteme abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien gemäß den Befehlen seines C&C herunterladen und ausführen.
  2. ↑ AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Informationsdieb fungiert und in der Lage ist, die Tastatureingaben des Opfers und die Systemtastatur zu überwachen und zu sammeln, Screenshots zu erstellen und Anmeldeinformationen zu einer Reihe von Software zu exfiltrieren, die auf dem Computer des Opfers installiert ist (einschließlich Google Chrome, Mozilla Firefox und dem Microsoft Outlook-E-Mail-Client).
  3. ↓ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder bösartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann über Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.

Am meisten angegriffene Branchen

In diesem Monat blieb der Sektor Bildung/Forschung an erster Stelle der weltweit am meisten angegriffenen Branchen, gefolgt von Regierung/Militär und dem Gesundheitswesen. In Deutschland sieht die Reihenfolge der am meisten attackierten Sektoren wie folgt aus:

  1. ↑ Einzelhandel/Großhandel
  2. ↑ Bildung/Forschung
  3. ↓ Software-Anbieter

Die am häufigsten ausgenutzten Schwachstellen

In diesem Monat ist „Apache Log4j Remote Code Execution“ die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, gefolgt von „Web Server Exposed Git Repository Information Disclosure“, die mit einem Anteil von 42 Prozent vom ersten auf den zweiten Platz zurückgefallen ist. Die Schwachstelle „Web Server Malicious URL Directory Traversal“ bleibt auf dem dritten Platz, mit einer weltweiten Auswirkung von 39 Prozent.

  1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – In Apache Log4j besteht eine Schwachstelle für die Remotecodeausführung. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
  2. ↓ Web Server Exposed Git Repository Information Disclosure – Es wurde eine Schwachstelle in Git Repository gemeldet, die Informationen preisgibt. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte die unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
  3. ↔ Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Web Servern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.

Top Mobile Malware

Diesen Monat ist AlienBot die am weitesten verbreitete mobile Malware, gefolgt von Anubis und Joker.

  1. ↔ AlienBot – AlienBot ist ein Banking-Trojaner für Android, der im Untergrund als Malware-as-a-Service (MaaS) verkauft wird. Er unterstützt Keylogging, dynamische Overlays für den Diebstahl von Anmeldedaten sowie SMS-Harvesting zur Umgehung von 2FA. Zusätzliche Fernsteuerungsmöglichkeiten werden durch die Verwendung eines TeamViewer-Moduls bereitgestellt.
  2. ↔ Anubis – Anubis ist ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
  3. ↑ Joker – Eine Android-Spyware in Google Play, die entwickelt wurde, um SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Außerdem kann die Malware das Opfer ohne dessen Zustimmung oder Wissen für kostenpflichtige Premium-Dienste anmelden.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, dem Intelligence & Research Arm von Check Point Software Technologies.

Die vollständige Liste der weltweit zehn häufigsten Malware-Familien im August finden Sie auf dem Check Point Blog .