Categories: Cybersicherheit

Top-Malware in Deutschland: Remcos überholt CloudEye

Check Point hat seine Statistik über die Verbreitung von Schadprogrammen aktualisiert. Im März belegt der Remote Access Trojan (RAT) Remcos den ersten Platz im Global Threat Index für Deutschland. Das CloudEye als Top-Malware abgelöst wurde, ist offenbar einer neuen Verbreitungsmethode für Remcos zu verdanken, die gängige Sicherheitsmaßnahmen umgeht.

Im vergangenen Monat deckten die Sicherheitsforscher auf, dass Hacker VHD-Dateien (Virtual Hard Disk) nutzen, um Remcos, einen RAT (Remote Access Trojan), zu installieren. In der Zwischenzeit blieb Lockbit3 – trotz der Strafverfolgungsmaßnahmen im Februar–die weltweit am weitesten verbreitete Ransomware-Gruppe im März.

Remcos ist eine bekannte Malware, die seit 2016 ihr Unwesen treibt. Die jüngste Kampagne umgeht gängige Sicherheitsmaßnahmen, um Cyber-Kriminellen unbefugten Zugriff auf die Geräte der Opfer zu ermöglichen. Trotz seiner legalen Ursprünge zur Fernverwaltung von Windows-Systemen begannen Hacker bald, das Tool zu missbrauchen, um Geräte zu infizieren, Screenshots zu erfassen, Tastatureingaben zu protokollieren und die gesammelten Daten an bestimmte Host-Server zu übertragen. Darüber hinaus verfügt der Trojaner über eine Massenversandfunktion, mit der Verteilungskampagnen durchgeführt werden können. Seine verschiedenen Funktionen können zum Aufbau von Bot-Netzen verwendet werden.

Maya Horowitz, VP of Research bei Check Point, kommentiert: “Die Entwicklung der Angriffstaktiken zeigt, dass die Strategien der Hacker unaufhaltsam voranschreiten. Dies unterstreicht die Notwendigkeit für Unternehmen, Sicherheitsmaßnahmen Priorität einzuräumen. Indem sie wachsam bleiben, einen robusten Endpunktschutz einsetzen und eine Kultur des Cyber-Sicherheitsbewusstseins fördern, können sie die Verteidigung gegen Cyber-Bedrohungen stärken.”

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

1. ↑ Remcos–Remcos ist ein RAT, der seit 2016 sein Unwesen treibt. Remcos wird über verseuchte Microsoft Office-Dokumente verbreitet, die an SPAM-E-Mails angehängt sind. Die Malware ist darauf ausgelegt, die UAC-Sicherheit von Microsoft Windows zu umgehen und Malware mit hohen Rechten auszuführen.

2. ↓CloudEyE – CloudEye ist ein Downloader, der auf die Windows-Plattform zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.

3. ↑ FakeUpdates – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates führt zu einer weiteren System-Infiltration durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

Gefährlichste Sicherheitslücken

Im vergangenen Monat war “Web Server Malicious URL Directory Traversal” immer noch die am häufigsten ausgenutzte Schwachstelle, von der 50 Prozent der Unternehmen weltweit betroffen waren. Es folgten “Command Injection Over HTTP” mit 48 Prozent und “HTTP Headers Remote Code Execution” mit 43 Prozent.

1. ↔ WebserverMalicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Auf verschiedenen Webservern existiert eine Directory Traversal-Schwachstelle. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.

2. ↔Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Es wurde eine Schwachstelle für Command Injectionover HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.

3. ↑ HTTP-Header Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner seines Opfers auszuführen.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

1. ↔Bildung und Forschung

2. ↑ Gesundheitswesen

3. ↓ Kommunikation

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago