Malware-Ranking September: Formbook marodiert durch deutsche Windows-Geräte

Der Global Threat Index von Check Point für September 2024 zeigt einen Trend hin zu KI-gesteuerter Malware und bestätigt die anhaltend dominanten Bedrohung durch Ransomware.

Im September entdeckten die Sicherheitsforscher, dass Hacker mutmaßlich KI zur Entwicklung eines Skripts verwendeten, das AsyncRAT-Malware verbreitet, die nun auf Platz 10 der globalen Top-Malware-Liste rangiert. Die Methode beinhaltete HTML-Schmuggel, bei dem eine passwortgeschützte ZIP-Datei mit bösartigem VBScript-Code gesendet wurde, um eine Infektionskette auf dem Gerät des Opfers auszulösen. Der gut strukturierte und kommentierte Code deutete auf eine Beteiligung von KI hin. Nach der vollständigen Ausführung wird AsyncRAT installiert, wodurch der Angreifer in der Lage ist, Tastenanschläge aufzuzeichnen, das infizierte Gerät fernzusteuern und zusätzliche Malware zu installieren. Diese Entdeckung unterstreicht den zunehmenden Trend, dass Cyber-Kriminelle mit begrenzten technischen Fähigkeiten künstliche Intelligenz einsetzen, um Malware einfacher zu erstellen.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

↑ Formbook (21,2 %)
FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals 2016 entdeckt wurde. Er wird in Untergrund-Hackerforen als Malware as a Service (MaaS) vermarktet, da er über starke Verschleierungstechniken verfügt und relativ günstig ist. FormBook sammelt Anmeldedaten von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß den Anweisungen seines C&C herunterladen und ausführen.

↔ Androxgh0st (4,6 %)
Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.

↔ FakeUpdates (3,3 %)
Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

Top Mobile Malware

↔ Joker
Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stiehlt. Darüber hinaus meldet die Malware das Opfer stillschweigend für Premium-Dienste auf Werbewebsites an.

↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit ihrer Entdeckung hat sie zusätzliche Funktionen erhalten, darunter die Funktionalität eines Remote Access Trojan (RAT), eines Keyloggers, Audioaufzeichnungsfunktionen und verschiedene Ransomware-Funktionen. Sie wurde in Hunderten verschiedener Anwendungen entdeckt, die im Google Store verfügbar sind.

↑ Hiddad
Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von „Shame Sites“ für Ransomware, die von Erpressergruppen betrieben werden, die Ransomware einsetzen, und auf denen Informationen über Opfer veröffentlicht werden. RansomHub ist in diesem Monat die am weitesten verbreitete Ransomware-Gruppe, die für 17 Prozent der veröffentlichten Angriffe verantwortlich ist, gefolgt von Play mit 10 Prozent und Qilin mit 5 Prozent.

RansomHub
RansomHub ist ein Ransomware-as-a-Service (RaaS)-Vorgang, der als umbenannte Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrundforen für Cyberkriminalität auf und erlangte schnell traurige Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen. Diese Malware ist dafür bekannt, ausgefeilte Verschlüsselungsmethoden einzusetzen.

Play
Play Ransomware, auch bekannt als PlayCrypt, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie sich im System befinden, nutzen sie Techniken wie „Living-off-the-land binaries (LOLBins)“ für Aufgaben wie Datenexfiltration und Diebstahl von Anmeldedaten.

Qilin
Qilin, auch als Agenda bezeichnet, ist eine kriminelle Ransomware-as-a-Service-Operation, die mit Partnern zusammenarbeitet, um Daten aus kompromittierten Organisationen zu verschlüsseln und zu exfiltrieren und anschließend ein Lösegeld zu verlangen. Diese Ransomware-Variante wurde erstmals im Juli 2022 entdeckt und wird in Golang entwickelt. Agenda ist dafür bekannt, dass sie große Unternehmen und Organisationen mit hohem Wert ins Visier nimmt, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor liegt. Qilin infiltriert seine Opfer in der Regel über Phishing-E-

Meist ausgenutzte Sicherheitslücken

↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)
Eine durch Command Injection over HTTP gemeldete Sicherheitslücke. Ein Angreifer kann dieses Problem aus der Ferne ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde diesem erlauben, beliebigen Code auf dem Zielrechner auszuführen.

↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)
Es gibt eine Schwachstelle bei der Verzeichnisdurchquerung auf verschiedenen Webservern. Die Schwachstelle ist auf einen Fehler bei der Eingabevalidierung in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung ermöglicht es nicht authentifizierten Angreifern aus der Ferne, beliebige Dateien auf dem anfälligen Server offenzulegen oder darauf zuzugreifen.

↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-1375)
HTTP-Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen anfälligen HTTP-Header verwenden, um beliebigen Code auf dem Computer des Opfers auszuführen.