Malware: Guloader in Deutschland auf dem Vormarsch

Der globale Bedrohungsindex von Check Point für Mai 2023 zeigt eine neue Version des Shellcode-basierten Downloaders GuLoader, der im vergangenen Monat die weltweit am weitesten verbreitete Malware war. Mit vollständig verschlüsselten Nutzdaten und Anti-Analyse-Techniken kann die neueste Form unerkannt in bekannten öffentlichen Cloud-Diensten, einschließlich Google Drive, gespeichert werden. Währenddessen belegten Qbot und Anubis den ersten Platz auf ihren jeweiligen Listen, und der Bereich Bildung/Forschung blieb die am häufigsten missbrauchte Branche.

Die GuLoader-Malware, die von Cyberkriminellen häufig verwendet wird, um die Erkennung durch Antivirenprogramme zu umgehen, hat sich stark verändert. Die jüngste Version nutzt eine ausgeklügelte Technik, um Code in einem legitimen Prozess zu ersetzen und so die Sicherheits-Tools zur Prozessüberwachung zu umgehen. Die Nutzdaten sind vollständig verschlüsselt und werden unerkannt in bekannten öffentlichen Cloud-Diensten, darunter Google Drive, gespeichert. Diese einzigartige Mischung aus Verschlüsselung, rohem Binärformat und Trennung vom Loader macht die Payloads für Antivirenprogramme unsichtbar und stellt eine erhebliche Bedrohung für Nutzer und Unternehmen weltweit dar.

Auch in Deutschland ist GuLoader auf dem Vormarsch und steigt in diesem Monat auf Platz 3 der meistverbreiteten Malware ein. Qbot verbleibt weiterhin auf Platz 1. Trotz der Bemühungen, die Verbreitung von Malware durch das Blockieren von Makros in Office-Dateien zu verlangsamen, haben die Betreiber von Qbot ihre Verbreitung und Auslieferung schnell angepasst. Kürzlich wurde festgestellt, dass Qbot einen Fehler in der Dynamic Link Library (DLL) im Windows 10 WordPad-Programm ausnutzt, um Computer zu infizieren. Platz 2 belegt erstmals wieder Formbook, das im letzten Monat aus der Top 3 verschwunden war.

Starke Veränderungen hat Check Point Research bei den meistangegriffenen Branchen und Bereichen in Deutschland festgestellt. Einzel- und Großhandel sind vom Gesundheitssektor vom ersten Platz verdrängt worden und nicht einmal mehr in der Top 3 gelistet. Platz 2 belegen erstmals wieder die Herstellungs- und Fertigungsbranche, gefolgt vom Finanz- und Bankwesen auf Platz 3.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

  1. Qbot

    Qbot AKA Qakbot ist eine Mehrzweck-Malware, die erstmals im Jahr 2008 auftauchte. Sie wurde entwickelt, um die Anmeldedaten eines Benutzers zu stehlen, Tastatureingaben aufzuzeichnen, Cookies von Browsern zu stehlen, Bankaktivitäten auszuspionieren und zusätzliche Malware zu installieren. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und der Entdeckung zu entgehen. Seit 2022 hat er sich zu einem der am weitesten verbreiteten Trojaner entwickelt.

  2. ↑ Formbook

    Formbook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er über starke Umgehungstechniken und einen relativ niedrigen Preis verfügt. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien herunterladen und ausführen, wenn es von seinem C&C angewiesen wird.

  3. ↑ Guloader

    Guloader ist ein Downloader, der seit Dezember 2019 weit verbreitet ist. Als er zum ersten Mal auftauchte, wurde GuLoader zum Herunterladen von Parallax RAT verwendet, wurde aber auch für andere Fernzugriffstrojaner und Infodiebe wie Netwire, FormBook und Agent Tesla eingesetzt.

Top 3 Schwachstellen

Im vergangenen Monat war „Web Servers Malicious URL Directory Traversal“ die am häufigsten ausgenutzte Schwachstelle, von der 49 Prozent der Unternehmen weltweit betroffen waren, gefolgt von „Apache Log4j Remote Code Execution“, von der 45 Prozent der Unternehmen weltweit betroffen waren. „HTTP Headers Remote Code Execution“ war die am dritthäufigsten genutzte Schwachstelle mit einer weltweiten Auswirkung von 44 Prozent.

  1. ↔ Web Server Malicious URL Directory Traversal

    Es existiert eine Directory Traversal Schwachstelle auf verschiedenen Web Servern. Die Schwachstelle ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Directory Traversal Patterns nicht richtig bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht-authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.

  2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228)

    Es gibt eine Schwachstelle in Apache Log4j, durch die Remotecode ausgeführt werden kann. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.

  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)

    HTTP Headers erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Opfercomputer auszuführen.

Top 3 Mobile Malware

Im letzten Monat belegte Anubis den ersten Platz der am weitesten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad.

  1. ↑ Anubis

    Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

  2. ↓ AhMyth

    AhMyth ist ein Remote-Access-Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, die in der Regel zum Stehlen sensibler Informationen verwendet werden.

  3. Hiddad

    Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

  1. Gesundheitssektor (Healthcare)

  2. Herstellung und Fertigung (Manufacturing)

  3. Finanzen und Bankwesen (Finance/Banking)

Der Global Threat Impact Index

von Check Point und seine ThreatCloud Map werden von Check Points ThreatCloud AI unterstützt. ThreatCloud AI liefert Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI- und Machine-Learning-Technologien, die aufkommende Bedrohungen identifizieren und blockieren, sowie mit exklusiven Forschungsdaten von Check Point Research.

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago