Malware im Februar 2019

13. März 2019

Das Threat Intelligence Forschungslabor von Check Point hat seinen Global Threat Index für Februar 2019 veröffentlicht. Der Krypto-Miner „Coinhive“ springt in diesem Monat auf Platz 2, obwohl seit längerem bekannt ist, dass seine Dienste am 8. März 2019 eingestellt wurden. Außerdem verharrt der Trojaner Emotet weiterhin auf Platz 1. Der Info Stealer Lokibot, der über Phishing-Angriffe die Benutzernamen und Passwörter ausliest, „sichert sich“ den dritten Platz.

Maya Horowitz, Threat Intelligence and Research Director bei Check Point, berichtet: „Wie wir im Januar gesehen haben, nutzen die Cyber-Kriminellen neue Wege, um Malware zu verbreiten, und schaffen gleichzeitig jüngere und gefährlichere Varianten bestehender Malware-Programme. Um dies effektiv zu bekämpfen, verfolgen unsere Sicherheitsforscher dies Schadprogramme kontinuierlich mithilfe der DNA ihrer Malware-Familie – daher ist es sehr wichtig, dass Unternehmen ihre Sicherheitslösungen auf dem neuesten Stand halten.“

Die Top 3 ‘Most Wanted’ Malware im Februar 2019:

  1. Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Emails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. Coinhive – Krypto-Miner, der entwickelt wurde, um Online-Mining der Krypto-Währung Monero durchzuführen, während ein Benutzer eine Webseite besucht. Der Nutzer merkt nichts, kann nicht zustimmen oder ablehnen und wird nicht am Gewinn beteiligt. Das implementierte JavaScript nutzt große Anteile der Rechenressourcen des Nutzers, um Münzen zu schürfen und kann damit sogar das System zum Absturz bringen.
  3. Lokibot – Lokibot ist ein Info Stealer, der hauptsächlich über Phishing-E-Mails vertrieben wird und Daten wie E-Mail-Konten, sowie Passwörter für CryptoCoin-Wallets und FTP-Server, ausliest.

 

Die Top 3 ‘Most Wanted’ Mobile Malware im Februar 2019:

  1. Lotoor – Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.
  2. Hiddad – Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter weitergibt. Seine Hauptfunktion ist die Anzeige von Werbung, aber sie ist auch in der Lage, Zugriff auf wichtige Sicherheitsdetails zu erhalten, die in das Betriebssystem integriert sind, sodass ein Angreifer sensible Benutzerdaten erhalten kann.
  3. Triada – Modulare Backdoor für Android, die Superuser-Rechte für heruntergeladene Malware gewährt und dieser hilft, sich in Systemprozesse einzubetten. Bei Triada haben Sicherheitsforscher auch gesehen, wie URLs, die im Browser geladen worden waren, gefälscht wurden.

Die Experten von Check Point analysierten auch die am häufigsten genutzten Cyber-Schwachstellen. Der Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow führt mit 45 Prozent immer noch die Liste an. OpenSSL TLS DTLS Heartbeat Information Disclosure wird am zweitmeisten ausgenutzt, mit einer globalen Auswirkung von 40 Prozent. Ihm folgt die Schwachstelle Web Servers PHPMyAdmin Misconfiguration Code Injection nach, von der 34 Prozent der Unternehmen weltweit betroffen sind.

Die Top 3 ‘Most Exploited’ Schwachstellen im Februar 2019:

  1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Durch das Senden einer Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über die Microsoft Internet Information Services 6.0 kann ein Angreifer von außerhalb eines beliebigen Codes ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Puffer-Überlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
  3. Web servers PHPMyAdmin Misconfiguration Code Injection – In PHPMyAdmin wurde eine Schwachstelle bei der Code-Injektion gemeldet. Die Schwachstelle ist auf eine Fehlkonfiguration von PHPMyAdmin zurückzuführen. Ein Angreifer kann diese Schwachstelle von außerhalb nutzen, indem er eine speziell gestaltete HTTP-Anfrage an das Ziel sendet.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.

Check Point Blog

Lesen Sie auch