TECHNOLOGY POWERING BUSINESS
Die Hintermänner missbrauchen den guten Ruf des Passwort-Managers Bitwarden. Ein gefälschtes Installationspaket enthält den Trojaner ZenRAT. Er stiehlt unter anderem im Browser hinterlegte Anmeldedaten.
Die Hintermänner von Emotet verstecken Visual-Basic-Skripte in Dateien im OneNote-Format. Per Skript wird eine DLL-Datei heruntergeladen, die schließlich Emotet selbst installiert.
Sie verstecken sich in einer kleinen ZIP-Datei und sind mehr als 500 MByte groß. Emotet setzt darauf, dass Sicherheitsanwendungen nur den Anfang von großen Dateien scannen.
Der Trojaner attackiert auch Apps von deutschen Finanzdienstleistern. Godfather fängt Log-in-Daten und auch SMS und Benachrichtigungen für eine Zwei-Faktor-Authentifizierung ab.
Die Hintermänner nutzen eine HTML-Smuggling genannte Technik. Ein Dateianhang im HMTL-Format enthält eine SVG-Datei, in der der eigentliche Schadcode versteckt ist.
Die Angreifer nutzen vom Ziel-System erzeugte elektromagnetische Strahlung. Sie benötigen jedoch physischen Zugriff auf das zu kompromittierende System.
Die Cybererpresser nutzen eine bekannte Schwachstelle in einem Grafiktreiber von Windows. Anschließend manipulieren sie Treiber von Antivirensoftware. Die BlackByte-Gruppe kann so ungestört auf Systeme ihrer Opfer zugreifen.
Hilft es der Cyberabwehr, Cyberattacken mit Hackbacks zu beantworten? Wir haben Joseph Carson, Chief Security Scientist bei Delinea dazu befragt.
Die als DEV-0270 bezeichnete Gruppe nutzt bekannte Schwachstellen aus. Sie verfolgt offenbar nicht nur politische oder strategische Ziele. Alternativ zu BitLocker setzt die Gruppe auch auf des Open-Source-tool DiskCryptor.
Der Crypto-Miner Nitrokod entgeht so jahrelang der Entdeckung durch Sicherheitsforscher. Check Point zufolge lässt sich der Infektionsweg aber auch für gefährlichere Schadsoftware wie Ransomware nutzen.
Die Schadsoftware Sova erhält mit einem Update eine Funktion zur Verschlüsselung von Dateien. Sova ahmt zudem mehr als 200 Banking- und Finanzapps nach.
Innerhalb von rund zwei Wochen kompromittieren die Gruppen LockBit, Hive und BlackCat das Netzwerk. Anscheinend nutzen sie jeweils dieselbe gehackte RDP-Verbindung. Erst nach dem dritten Angriff sucht das Unternehmen Hilfe bei Sophos.
Sie kommen zusammen auf mehr als 300.000 Downloads. Die Apps verbreiten mehrere Malware-Familien. Sie stehlen vertrauliche Daten und buchen unerwünschte WAP-Abonnements.
Sie verbreiten die Malware Joker. Joker wiederum tätigt In-App-Käufe und verschickt SMS an Premium-Nummern. Die vier Apps bringen es zusammen auf mehr als 100.000 Downloads.
Als Einfallstor dient eine bekannte Schwachstelle in Software von Atlassian. Alternativ nehmen die Cyberkriminellen auch eine WebLogic-Lücke ins Visier.
Symantec bringt den Loader Bumblebee in Verbindung mit den Ransomware-Gruppen Conti, Mountlocker und Quantum. Die Verbreitung von Bumblebee erfolgt derzeit über Phishing-E-Mails mit schädlichen Dateianhang.
Hermit ist derzeit vor allem in Italien und Kasachstan in Umlauf. Google sind Fälle bekannt, in denen Internet Provider bei der Verbreitung der Schadsoftware behilflich waren.
Die Hintermänner gehen derzeit gegen Opfer in Großbritannien, Italien und Spanien vor. Sicherheitsforscher stufen die Betrüger anhand ihres Vorgehens inzwischen als Advanced Persistent Threat ein.
MaliBot ist auf Finanzbetrug ausgerichtet. Die Malware benötigt dafür jedoch den Zugriff auf die Android-Bedienungshilfen. Per Overlay umgeht MaliBot dann auch eine Anmeldung in mehreren Schritten.
Sie kompromittiert alle laufenden Prozesse eines Linux-Systems. Symbiote nutzt zudem diverse Techniken, um sich zu verstecken. Als Folge können die Forscher nicht einmal abschätzen, wie aktiv die Malware eingesetzt wird.
Ein neues Modul liest Kreditkartendaten aus Chrome-Nutzerprofilen aus. Es ist seit wenigen Tagen im Umlauf.
In Untergrundforen kostet der Remote Access Trojan nur 5 Dollar. Für den geringen Preis bietet DCRat einen großen Funktionsumfang. Hinter dem Trojaner steckt offenbar eine einzelne Person.
Sie schleusen die Android-Malware Sharkbot ein. Sie stiehlt Nutzernamen und Kennwörter. Die aktuelle Kampagne findet laut Check Point mehr als 15.000 Opfer.
Hacker bieten Borat RAT in Untergrundforen zum Verkauf an. Die Malware erlaubt die nahezu vollständige Kontrolle eines Systems. Der Funktionsumfang reicht vom Keylogger bis hin zu DDoS-Angriffen.
Die Malware Facestealer tarnt sich als Foto-App. Sie ist aber nur auf den Diebstahl von Facebook-Anmeldedaten aus. Google löscht die App aus seinem Android-Marktplatz.
Zur Verbreitung verlassen sich die Hintermänner nicht mehr nur auf Smishing. Sie nutzen auch offizielle App-Markplätze wie Google Play Store für ihre Zwecke.
Eine neue Firmware für infizierte Geräte ist bereits in Arbeit. Asustor rät zur Deaktivierung bestimmter Dienste sowie zur Änderung voreingestellter Ports. Die Hintermänner von Deadbolt nutzen offenbar eine Zero-Day-Lücke für ihre Atta ...
Ein Unbekannter veröffentlicht die Master-Entschlüsselungsschlüssel. Emisoft entwickelt daraus einen Decryptor. Der hilft allerdings nur Opfern, die ihre verschlüsselten Daten aufbewahrt haben und noch über die Lösegeldforderung verfüg ...
Cybererpresser kapern möglicherweise tausende QNAP-NAS-Geräte. Nutzer berichten von unerwünschten Nebenwirkungen durch das Update. Das Update an sich ist seit Dezember verfügbar.
Die Kampagne richtet sich gegen Transportunternehmen, Versicherungen und Rüstungsfirmen. Es kommen unter anderem die Ransomware-Familien BlackBatter und REvil zum Einsatz.