März 2023: Monat der Trojaner

Der Global Threat Index von Check Point für März 2023 zeigt, dass der berüchtigte Emotet-Trojaner nach alternativen Wegen gesucht hat, um bösartige Dateien zu verbreiten, da Microsoft angekündigt hat, Makros in Office-Dateien zu blockieren. In der jüngsten Kampagne haben die Angreifer eine neue Strategie gewählt: Sie versenden Spam-E-Mails, die eine bösartige OneNote-Datei enthalten. Sobald diese geöffnet wird, erscheint eine gefälschte Nachricht, die das Opfer verleitet, auf das Dokument zu klicken, wodurch die Emotet-Infektion heruntergeladen wird. Sobald die Malware installiert ist, kann sie E-Mail-Benutzerdaten wie Anmeldedaten und Kontaktinformationen sammeln. Die Angreifer nutzen dann die gesammelten Informationen, um die Reichweite der Kampagne zu vergrößern und zukünftige Angriffe zu erleichtern.

* Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

Top 3 Malware für Deutschland

↔ Qbot
auch bekannt als Qakbot, ist ein Banking-Trojaner, der erstmals 2008 auftauchte. Er wurde entwickelt, um die Bankdaten und Tastatureingaben eines Benutzers zu stehlen. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und die Erkennung zu umgehen.

↑ Guloader
ist ein Downloader, der seit Dezember 2019 weit verbreitet wurde. Als er zum ersten Mal auftauchte, wurde Guloader zum Herunterladen von Parallax RAT verwendet, aber auch für andere Fernzugriffs-Trojaner und Infostealer, wie Netwire, Formbook und Agent Tesla.

↑ Emotet
ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder bösartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann über Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.

Top 3 Schwachstellen

Im März war Apache Log4j Remote Code Execution die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen waren, dicht gefolgt von HTTP Headers Remote Code Execution mit einem Anteil von 43 Prozent. MVPower DVR Remote Code Executionsteht mit einer weltweiten Auswirkung von 40 Prozent auf dem dritten Platz.

↑ Apache Log4j Remote Code Execution (CVE-2021-44228)
In Apache Log4j besteht eine Schwachstelle in Bezug auf Remote Code Execution. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.

↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)
HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.

↑ MVPower DVR Remote Code Execution
In MVPower-DVR-Geräten besteht Schwachstelle zur Ausführung von Remotecode. Ein Angreifer kann diese Schwachstelle ausnutzen, um über eine manipulierte Anfrage beliebigen Code auf dem betroffenen Router auszuführen.

Top 3 Mobile Malware

Im vergangenen Monat war AhMynth die am häufigsten verbreitete Hadny-Malware, gefolgt von Anubis und Hiddad.

↑ AhMyth
ist ein Remote Access Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Senden von SMS-Nachrichten und das Aktivieren der Kamera durchführen.

↓ Anubis
ist ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

↓ Hiddad
ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, sie kann aber auch Zugang zu wichtigen Sicherheitsdetails des Betriebssystems erhalten.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

↑  Einzelhandel/Großhandel (Retail/Wholesale)

↓  Bildung/Forschung (Education/Research)

↔  Gesundheitswesen (Healthcare)

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloudIntelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies.