Top Malware November 2023: Formbook dominiert in Deutschland

Formbook ist ein Infostealer, der auf das Betriebssystem Windows abzielt und erstmals 2016 entdeckt wurde. Er wird in Hacker-Underground-Foren als Malware-as-a-Service (MaaS) vermarktet, da er über leistungsfähige Umgehungstechniken verfügt und relativ preiswert ist. Neu hinzu kommt Fakeupdates. Auf Platz 3 steht Nanocore.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

Formbook
Formbook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. Formbook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausführen.

Fakeupdates
Fakeupdates (auch bekannt als SocGholish) ist ein in JavaScript geschriebener Downloader, der die Nutzdaten auf die Festplatte speichert, bevor er sie ausführt. Durch Fakeupdates kam es zu weiteren Infektionen durch zahlreiche zusätzliche Malware wie GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

Nanocore
Nanocore ist ein Fernzugriffs-Trojaner (RAT), der auf Benutzer von Windows-Betriebssystemen zielt und erstmals 2013 beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen, wie Bildschirmaufnahmen, Krypto-Währungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.

Top 3 Schwachstellen

Im vergangenen Monat war Command Injection Over HTTP die am häufigsten ausgenutzte Schwachstelle, von der 45 Prozent der Unternehmen weltweit betroffen waren, gefolgt von Web Servers Malicious URL Directory Traversal mit 42 Prozent der Unternehmen weltweit. An dritter Stelle lag Zyxel ZyWALL Command Injection (CVE-2023-28771) mit einer weltweiten Auswirkung von 41 Prozent.

↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)
Eine Command Injection over HTTP-Schwachstelle wurde gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.

Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)
Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Webservern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URL für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.

↓ Zyxel ZyWALL Command Injection (CVE-2023-28771)
In Zyxel ZyWALL besteht eine Schwachstelle für Command Injection. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können entfernte Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.

Top 3 Mobile Malware

Anubis war auch im vergangenen Monat die am häufigsten verbreitete mobile Malware, gefolgt von AhMyth und diesmal SpinOk.

↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

↔ AhMyth
A AhMyth ist ein Remote-Access-Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Nutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Diebstahl sensibler Informationen genutzt wird.

↑ SpinOk
SpinOk ist ein Android-Softwaremodul, das wie ein Spionageprogramm funktioniert. Es sammelt Informationen über auf Geräten gespeicherte Dateien und kann diese an böswillige Bedrohungsakteure weiterleiten. Das Schadmodul wurde in mehr als 100 Android-Apps gefunden und bis Mai 2023 mehr als 421.000.000 Malheruntergeladen.

Top 3 der angegriffenen Branchen/Bereiche

ISP/MSP

Gesundheitswesen

Einzelhandel/Großhandel

Der Global Threat Impact Index und die ThreatCloud Map

von Check Point basieren auf der ThreatCloud Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies.

Roger Homrich

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago