Der globale Bedrohungsindex von Check Point für Mai 2023 zeigt eine neue Version des Shellcode-basierten Downloaders GuLoader, der im vergangenen Monat die weltweit am weitesten verbreitete Malware war. Mit vollständig verschlüsselten Nutzdaten und Anti-Analyse-Techniken kann die neueste Form unerkannt in bekannten öffentlichen Cloud-Diensten, einschließlich Google Drive, gespeichert werden. Währenddessen belegten Qbot und Anubis den ersten Platz auf ihren jeweiligen Listen, und der Bereich Bildung/Forschung blieb die am häufigsten missbrauchte Branche.
Die GuLoader-Malware, die von Cyberkriminellen häufig verwendet wird, um die Erkennung durch Antivirenprogramme zu umgehen, hat sich stark verändert. Die jüngste Version nutzt eine ausgeklügelte Technik, um Code in einem legitimen Prozess zu ersetzen und so die Sicherheits-Tools zur Prozessüberwachung zu umgehen. Die Nutzdaten sind vollständig verschlüsselt und werden unerkannt in bekannten öffentlichen Cloud-Diensten, darunter Google Drive, gespeichert. Diese einzigartige Mischung aus Verschlüsselung, rohem Binärformat und Trennung vom Loader macht die Payloads für Antivirenprogramme unsichtbar und stellt eine erhebliche Bedrohung für Nutzer und Unternehmen weltweit dar.
Auch in Deutschland ist GuLoader auf dem Vormarsch und steigt in diesem Monat auf Platz 3 der meistverbreiteten Malware ein. Qbot verbleibt weiterhin auf Platz 1. Trotz der Bemühungen, die Verbreitung von Malware durch das Blockieren von Makros in Office-Dateien zu verlangsamen, haben die Betreiber von Qbot ihre Verbreitung und Auslieferung schnell angepasst. Kürzlich wurde festgestellt, dass Qbot einen Fehler in der Dynamic Link Library (DLL) im Windows 10 WordPad-Programm ausnutzt, um Computer zu infizieren. Platz 2 belegt erstmals wieder Formbook, das im letzten Monat aus der Top 3 verschwunden war.
Starke Veränderungen hat Check Point Research bei den meistangegriffenen Branchen und Bereichen in Deutschland festgestellt. Einzel- und Großhandel sind vom Gesundheitssektor vom ersten Platz verdrängt worden und nicht einmal mehr in der Top 3 gelistet. Platz 2 belegen erstmals wieder die Herstellungs- und Fertigungsbranche, gefolgt vom Finanz- und Bankwesen auf Platz 3.
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
Qbot AKA Qakbot ist eine Mehrzweck-Malware, die erstmals im Jahr 2008 auftauchte. Sie wurde entwickelt, um die Anmeldedaten eines Benutzers zu stehlen, Tastatureingaben aufzuzeichnen, Cookies von Browsern zu stehlen, Bankaktivitäten auszuspionieren und zusätzliche Malware zu installieren. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und der Entdeckung zu entgehen. Seit 2022 hat er sich zu einem der am weitesten verbreiteten Trojaner entwickelt.
Formbook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er über starke Umgehungstechniken und einen relativ niedrigen Preis verfügt. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien herunterladen und ausführen, wenn es von seinem C&C angewiesen wird.
Guloader ist ein Downloader, der seit Dezember 2019 weit verbreitet ist. Als er zum ersten Mal auftauchte, wurde GuLoader zum Herunterladen von Parallax RAT verwendet, wurde aber auch für andere Fernzugriffstrojaner und Infodiebe wie Netwire, FormBook und Agent Tesla eingesetzt.
Im vergangenen Monat war „Web Servers Malicious URL Directory Traversal“ die am häufigsten ausgenutzte Schwachstelle, von der 49 Prozent der Unternehmen weltweit betroffen waren, gefolgt von „Apache Log4j Remote Code Execution“, von der 45 Prozent der Unternehmen weltweit betroffen waren. „HTTP Headers Remote Code Execution“ war die am dritthäufigsten genutzte Schwachstelle mit einer weltweiten Auswirkung von 44 Prozent.
Es existiert eine Directory Traversal Schwachstelle auf verschiedenen Web Servern. Die Schwachstelle ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Directory Traversal Patterns nicht richtig bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht-authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
Es gibt eine Schwachstelle in Apache Log4j, durch die Remotecode ausgeführt werden kann. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
HTTP Headers erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Opfercomputer auszuführen.
Im letzten Monat belegte Anubis den ersten Platz der am weitesten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad.
Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
AhMyth ist ein Remote-Access-Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, die in der Regel zum Stehlen sensibler Informationen verwendet werden.
Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.
von Check Point und seine ThreatCloud Map werden von Check Points ThreatCloud AI unterstützt. ThreatCloud AI liefert Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI- und Machine-Learning-Technologien, die aufkommende Bedrohungen identifizieren und blockieren, sowie mit exklusiven Forschungsdaten von Check Point Research.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…