Top Malware im Juli 2019 – AgentTesla attackiert deutsche Computer
SAN CARLOS, Kalifornien, 08. August 2019 – Sicherheitsforscher entdecken außerdem gefährliche Schwachstelle in OpenDreamBox 2.0.0 WebAdmin Plugin.
Maya Horowitz, Director Threat Intelligence & Research and Products bei Check Point
Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, entdeckt im Rahmen des Global Threat Index für Juli 2019 neue Schadprogramme gegen Unternehmen weltweit. Nach Agent Smith attackiert nun AgentTesla deutsche Geräte und sortiert sich sofort auf Rang zwei der wichtigsten Bedrohungen ein. Dabei handelt es sich um einen Remote Access Trojan (RAT), der vor allem als Keylogger und Passwort-Dieb eingesetzt wird. Seit 2014 treibt die Malware ihr Unwesen und kann vielfältige Informationen aus dem Rechner des Opfers auslesen, wie die Eingaben der Tastatur. AgentTesla wird am Schwarzmarkt für nur 15 bis 69 Dollar je Lizenz vertrieben.
Auf Platz drei folgt zudem ein weiterer Neuling, Nanocore, ebenfalls ein RAT, der bevorzugt Windows-Systeme befällt und sämtliche Standard-Befehle eines RAT beherrscht, wie Krypto-Mining oder Fernzugriff. Unangefochten aber hält sich Emotet an der Spitze und macht deutschen Unternehmen weiter zu schaffen.
Hinzu kommt eine gefährliche Schwachstelle, die die Sicherheitsforscher in OpenDreamBox 2.0.0 WebAdmin Plugin gefunden haben. Sie betrifft weltweit 32 Prozent der Unternehmen. Die Sicherheitslücke erlaubt es Angreifern über den Fernzugriff Befehlszeilen auf den anvisierten Rechnern auszuführen. Jedoch handelt es sich bei Attacken auf diese Lücke stets um nur einen von vielen Angriffswegen, die gleichzeitig erfolgen können und vornehmlich auf IoT-Geräte abzielen. Ins Visier gerät dabei besonders die Schwachstelle MVPower DVR Remote Code Execution. Die Vorgehensweise der Angreifer weißt Ähnlichkeiten mit dem berüchtigten Mirai Botnetz-Angriff auf.
„Angreifer versuchen stets, neue Schwachstellen auszunutzen, sobald sie gefunden wurden. Unternehmen haben dann überhaupt nicht die Möglichkeit, diese zu schließen. Der OpenDreamBox-Fehler bildet keine Ausnahme. Dennoch ist es überraschend, dass fast ein Drittel der Unternehmen betroffen sind und ist ein Beleg dafür, dass Firmen solche Schwachstellen schnell fixen müssen, um sich wirksam zu schützen“, erklärt Maya Horowitz, Director Threat Intelligence & Research and Products bei Check Point.
Im Juli fielen außerdem die Krypto-Mining-Schadprogramme im Ranking stark zurück, obwohl sie mehrere Monate lang den Nutzern zu schaffen machten. Besonders die Verbreitung und Aktivitäten von Cryptoloot verringerten sich.
„Der starke Rückgang von Cryptoloot ist ebenfalls interessant. In den letzten anderthalb Jahren war der Miner sehr häufig in den Top-Malware-Listen. Er wurde, weltweit betrachtet, zur zweithäufigsten Malware-Variante der ersten Jahreshälfte 2019 gewählt. Wir glauben, dass der Rückgang mit dem großen Rivalen Coinhive zusammenhängt, der seine Tätigkeit im Frühling 2019 einstellte. Kriminelle verlassen sich mittlerweile auf alternative Krypto-Mining-Malware wie XMRig und Jsecoin“, führt Horowitz aus.
Die ‚Most Wanted‘ Malware im Juli 2019
* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.
1. ↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. ↑ AgentTesla – AgentTesla ist ein fortschrittliche RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.
3. ↑ NanoCore – NanoCore ist ein Fernzugriffs-Trojaner, der seit 2013 in aller Munde ist und sich gegen Windows-Betriebssysteme richtet. Alle Versionen des RAT verfügen über Basis-Plugins und Funktionalitäten wie Screen Capture, Krypto Currency Mining oder Remote Control.
Die 3 ‚Most Wanted‘ Mobile Malware im Juli 2019
Im Juli war Lotoor erneut die am weitesten verbreitete Schadsoftware gegen mobile Geräte, gefolgt von AndroidBauts und Piom – zwei neuen mobile Schadprogramme in der Top 3 Liste auf den Plätzen 2 und 3.
1. ↔ Lotoor – Nutzt Schwachstellen im Android-Betriebssystem aus, um Root-Rechte auf diesen mobilen Geräten zu erlangen.
2. ↑ AndroidBauts – Adware gegen Android, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen kann und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermöglicht.
3. ↑ Piom – Adware, die das Browser-Verhalten des Benutzers überwacht und unerwünschte Werbung einblendet, basierend auf dieser Analyse der Webaktivitäten.
Die 3 ‚Most Exploited‘ Schwachstellen im Juli 2019
Im Juli hielten sich die SQL Injections-Angriffs-Techniken weiterhin – mit einem leichten Rückgang – auf Platz 1 der Liste der häufigsten, ausgenutzten Schwachstellen, bei einer globalen Auswirkung von 46 Prozent. OpenSSL TLS DTLS Heartbeat Information Disclosure verteidigte seinen zweiten Platz mit 41 Prozent. Knapp dahinter folgt eine neue Schachstelle unter den Top 3 mit 40 Prozent, MVPower DVR Remote Code Execution.
1. ↔ SQL Injection (verschiedene Techniken) – Dieser Angriff bezeichnet die Ausnutzung einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Die Schwachstelle entsteht durch mangelnde Maskierung oder Überprüfung von Metazeichen (;) in Benutzereingaben.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
3. ↑ MVPower DVR Remote Code Execution – Eine Sicherheitslücke während der Ausführung von Remote-Code besteht in MVPower-DVR-Geräten. Ein Angreifer von außen kann diese Schwachstelle nutzen, um beliebigen Code im betroffenen Router über eine selbst gebastelte Anfrage auszuführen.
Über Check Point Research: Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.: Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100.000 Unternehmen jeder Größe in der ganzen Welt.
