Die Forscher von Check Point stellen fest, dass Dridex aktualisiert und über mehrere Spam-Kampagnen verbreitet wurde, um gezielte Ransomware auszuliefern, was das Risiko des seit langem etablierten Trojaners erhöht
Unser aktueller Global Threat Index für März 2020 zeigt, dass der bekannte Banking-Trojaner Dridex, der erstmals 2011 auftauchte, zum ersten Mal in die Top-Ten-Malware-Liste aufgenommen wurde, und zwar als die am dritthäufigsten auftretende Malware im März. Dridex wurde aktualisiert und wird nun in den frühen Angriffsphasen zum Herunterladen gezielter Ransomware wie BitPaymer und DoppelPaymer verwendet.
Der starke Anstieg der Verwendung von Dridex wurde durch mehrere Spam-Kampagnen vorangetrieben, die eine bösartige Excel-Datei enthielten, die die Dridex-Malware auf den Computer des Opfers herunterlud. Dieser Anstieg der Dridex-Malware zeigt, wie schnell Cyberkriminelle die Themen ihrer Angriffe ändern, um die Infektionsraten zu maximieren.
Dridex ist eine ausgeklügelte Form von Banking-Malware, die auf die Windows-Plattform abzielt und Spam-Kampagnen versendet, um Computer zu infizieren und Bankdaten und andere persönliche Informationen zu stehlen, um betrügerische Geldüberweisungen zu erleichtern. Die Malware wurde in den letzten zehn Jahren systematisch aktualisiert und weiterentwickelt. XMRig steht nach wie vor auf Platz 1 des Index der wichtigsten Malware-Familien, die 5 % der Unternehmen weltweit befallen, gefolgt von Jsecoin und Dridex, die 4 % bzw. 3 % der Unternehmen weltweit befallen haben.
Dridex kann angesichts seiner Raffinesse für Kriminelle sehr lukrativ sein und wird jetzt als Ransomware-Downloader verwendet, was ihn noch gefährlicher macht als frühere Varianten. Privatpersonen müssen sich vor E-Mails mit Anhängen in Acht nehmen, selbst wenn sie von einer vertrauenswürdigen Quelle zu stammen scheinen – insbesondere angesichts der explosionsartigen Zunahme der Heimarbeit in den letzten Wochen. Unternehmen müssen ihre Mitarbeiter darüber aufklären, wie sie bösartige Spam-Mails erkennen können, und Sicherheitsmaßnahmen ergreifen, um ihre Teams und Netzwerke vor solchen Bedrohungen zu schützen.
Der Bericht vom März warnt außerdem davor, dass die „MVPower DVR Remote Code Execution“ weiterhin die am häufigsten ausgenutzte Schwachstelle ist, von der 30 % der Unternehmen weltweit betroffen sind, dicht gefolgt von der „PHP php-cgi Query String Parameter Code Execution“ mit einer weltweiten Auswirkung von 29 %, gefolgt von der „OpenSSL TLS DTLS Heartbeat Information Disclosure“, die 27 % der Unternehmen weltweit betrifft.
Top-Malware-Familien
*Die Pfeile beziehen sich auf die Veränderung des Rangs im Vergleich zum Vormonat.
In diesem Monat bleibt XMRig auf Platz 1, mit Auswirkungen auf 5 % der Organisationen weltweit, gefolgt von Jsecoin und Dridex mit Auswirkungen auf 4 % bzw. 3 % der Organisationen weltweit.
- ↔ XMRig – XMRig ist eine Open-Source-CPU-Mining-Software, die für den Mining-Prozess der Kryptowährung Monero verwendet wird und erstmals im Mai 2017 in freier Wildbahn gesehen wurde.
- Jsecoin – Jsecoin ist ein webbasierter Kryptominer, der entwickelt wurde, um Online-Mining der Kryptowährung Monero durchzuführen, wenn ein Benutzer eine bestimmte Webseite besucht. Das implantierte JavaScript verwendet einen großen Teil der Rechenressourcen des Endbenutzers, um Münzen zu schürfen, was sich auf die Systemleistung auswirkt.
- Dridex – Dridex ist ein Banking-Trojaner, der auf die Windows-Plattform abzielt und durch Spam-Kampagnen und Exploit-Kits verbreitet wird, die sich auf WebInjects stützen, um Banking-Anmeldeinformationen abzufangen und an einen vom Angreifer kontrollierten Server weiterzuleiten. Dridex kontaktiert einen entfernten Server, sendet Informationen über das infizierte System und kann auch zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
- ↔ Trickbot – Trickbot ist ein dominanter Banking-Trojaner, der ständig mit neuen Fähigkeiten, Funktionen und Verbreitungsvektoren aktualisiert wird. Dies macht Trickbot zu einer flexiblen und anpassbaren Malware, die als Teil von vielseitigen Kampagnen verbreitet werden kann.
- ↓ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde einst als Banking-Trojaner eingesetzt und wird neuerdings als Verteiler für andere Malware oder bösartige Kampagnen verwendet. Er verwendet mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden. Darüber hinaus kann er durch Phishing-Spam-E-Mails verbreitet werden, die Malware enthalten.
- ↔ Agent Tesla – Agent Tesla ist ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert. Agent Tesla ist in der Lage, die Tastatureingaben des Opfers und die Zwischenablage zu überwachen und zu sammeln, Screenshots zu erstellen und Anmeldeinformationen von einer Vielzahl von Software, die auf dem Computer des Opfers installiert ist (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook-E-Mail-Client), zu exfiltrieren.
- Formbook – Formbook ist ein Info-Stealer, der Anmeldeinformationen von verschiedenen Webbrowsern sammelt, Screenshots sammelt, Tastatureingaben überwacht und protokolliert und Dateien gemäß seinen C&C-Befehlen herunterladen und ausführen kann.
- ↓ Lokibot – Lokibot ist ein Info-Stealer, der hauptsächlich über Phishing-E-Mails verbreitet wird und dazu dient, verschiedene Daten wie E-Mail-Anmeldedaten sowie Passwörter für CryptoCoin-Wallets und FTP-Server zu stehlen.
- ↓ Ramnit – Ramnit ist ein Banking-Trojaner, der Banking-Zugangsdaten, FTP-Passwörter, Session-Cookies und persönliche Daten stiehlt.
- RigEK- RigEK liefert Exploits für Flash, Java, Silverlight und Internet Explorer. Die Infektionskette beginnt mit einer Weiterleitung zu einer Landing Page, die JavaScript enthält, das nach anfälligen Plug-ins sucht und den Exploit liefert.
Top ausgenutzte Schwachstellen
In diesem Monat bleibt die „MVPower DVR Remote Code Execution“ die am häufigsten ausgenutzte Schwachstelle, von der 30 % der Unternehmen weltweit betroffen sind, dicht gefolgt von „PHP php-cgi Query String Parameter Code Execution“ mit einer weltweiten Auswirkung von 29 %. An dritter Stelle steht „OpenSSL TLS DTLS Heartbeat Information Disclosure“, von der 27 % der Unternehmen weltweit betroffen sind.
- ↔ MVPower DVR Remote Code Execution – Eine Schwachstelle in MVPower DVR-Geräten, die eine Remotecodeausführung ermöglicht. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um über eine manipulierte Anfrage beliebigen Code auf dem betroffenen Router auszuführen.
- PHP php-cgi Query String Parameter Code Execution – Eine Schwachstelle für entfernte Codeausführung, die in PHP gemeldet wurde. Die Schwachstelle ist auf das unsachgemäße Parsen und Filtern von Query-Strings durch PHP zurückzuführen. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er manipulierte HTTP-Anfragen sendet. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebigen Code auf dem Ziel ausführen.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle für die Offenlegung von Informationen, die in OpenSSL existiert. Die Schwachstelle ist auf einen Fehler bei der Behandlung von TLS/DTLS-Heartbeat-Paketen zurückzuführen. Ein Angreifer kann diese Schwachstelle ausnutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
- Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle zur Offenlegung von Informationen wurde in Git Repository gemeldet. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
- ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Eine Authentifizierungsumgehungsschwachstelle besteht in Dasan GPON-Routern. Eine erfolgreiche Ausnutzung dieser Schwachstelle würde es entfernten Angreifern ermöglichen, vertrauliche Informationen zu erhalten und unbefugten Zugriff auf das betroffene System zu erlangen.
- Huawei HG532 Router Remote Code Execution – In Huawei HG532 Routern besteht eine Schwachstelle für Remote Code Execution. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um über eine manipulierte Anfrage beliebigen Code auf dem betroffenen Router auszuführen.
- D-Link DSL-2750B Remote Command Execution – Es besteht eine Schwachstelle in WordPress portable-phpMyAdmin Plugin zur Umgehung der Authentifizierung. Eine erfolgreiche Ausnutzung dieser Schwachstelle würde es entfernten Angreifern ermöglichen, vertrauliche Informationen zu erhalten und unbefugten Zugriff auf das betroffene System zu erlangen.
- ↓PHP DIESCAN information disclosure – Eine Schwachstelle zur Offenlegung von Informationen, die in den PHP-Seiten gemeldet wurde. Eine erfolgreiche Ausnutzung könnte zur Offenlegung sensibler Informationen vom Server führen.
- ↓SQL Injection (verschiedene Techniken) – Einfügen einer Injektion einer SQL-Abfrage in die Eingabe vom Client zur Anwendung, während eine Sicherheitslücke in der Software einer Anwendung ausgenutzt wird.
- OpenSSL Padding Oracle Information Disclosure – Eine Schwachstelle für die Offenlegung von Informationen besteht in der AES-NI-Implementierung von OpenSSL. Die Schwachstelle ist auf eine Fehlberechnung der Speicherzuweisung während einer bestimmten Auffüllungsprüfung zurückzuführen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um sensible Klartextinformationen über einen Padding-Orakel-Angriff gegen eine AES-CBC-Sitzung zu erhalten.
Top-Malware-Familien – Mobile
In diesem Monat behielt xHelper den ersten Platz der am weitesten verbreiteten mobilen Malware, gefolgt von AndroidBauts und Lotoor.
- xHelper – Eine bösartige Anwendung, die seit März 2019 in freier Wildbahn zu sehen ist und zum Herunterladen anderer bösartiger Apps und zur Anzeige von Werbung verwendet wird. Die Anwendung kann sich vor dem Benutzer verstecken und sich selbst neu installieren, wenn sie deinstalliert wird.
- AndroidBauts – Adware, die auf Android-Benutzer abzielt und IMEI, IMSI, GPS-Standort und andere Geräteinformationen exfiltriert und die Installation von Drittanbieter-Apps und Verknüpfungen auf Mobilgeräten ermöglicht.
- Lotoor – Ein Hacking-Tool, das Schwachstellen in Android-Betriebssystemen ausnutzt, um Root-Rechte auf kompromittierten Mobilgeräten zu erlangen.