Formbook marodiert durch deutsche Windows-Geräte

Der Infostealer Formbook löste hierzulande CloudEye von der Spitze der aktivsten Malware ab und machte ganze 21 Prozent aller Infektionen aus. Dazu geriet das Transportwesen wieder zunehmend ins Visier von Hackern

Check Point hat seinen Global Threat Index für September 2024 veröffentlicht. Der neue Bericht zeigt einen Trend hin zu KI-gesteuerter Malware und zeugt von der anhaltend dominanten Bedrohung durch Ransomware. In Deutschland spielte die im August noch dominante Malware CloudEye bereits im September keine Rolle mehr und wurde durch Formbook abgelöst, die aus dem Stand wieder 21 Prozent aller Malware-Infektionen ausmachte. Auf den Plätzen zwei und drei hielten sich Androxgh0st (4,6 Prozent) und FakeUpdates (3,3 Prozent). Zudem ist das Transportwesen hierzulande wieder stärker Ziel von Cyber-Angriffen geworden. Das Gesundheitssystem ist erstmals seit langem nicht mehr unter den drei meistbetroffenen Sektoren.

Im vergangenen Monat entdeckten die Sicherheitsforscher, dass Hacker mutmaßlich KI zur Entwicklung eines Skripts verwendeten, das AsyncRAT-Malware verbreitet, die nun auf Platz 10 der globalen Top-Malware-Liste rangiert. Die Methode beinhaltete HTML-Schmuggel, bei dem eine passwortgeschützte ZIP-Datei mit bösartigem VBScript-Code gesendet wurde, um eine Infektionskette auf dem Gerät des Opfers auszulösen. Der gut strukturierte und kommentierte Code deutete auf eine Beteiligung von KI hin. Nach der vollständigen Ausführung wird AsyncRAT installiert, wodurch der Angreifer in der Lage ist, Tastenanschläge aufzuzeichnen, das infizierte Gerät fernzusteuern und zusätzliche Malware zu installieren. Diese Entdeckung unterstreicht den zunehmenden Trend, dass Cyber-Kriminelle mit begrenzten technischen Fähigkeiten künstliche Intelligenz einsetzen, um Malware einfacher zu erstellen.

Maya Horowitz, VP of Research bei Check Point Software Technologies, kommentiert die Trends:

„Die Tatsache, dass Hacker damit begonnen haben, generative KI als Teil ihrer Angriffsinfrastruktur zu nutzen, verdeutlicht die kontinuierliche Entwicklung der Taktiken bei Cyber-Angriffen. Hacker nutzen zunehmend alle verfügbaren Technologien, um ihre Operationen zu optimieren, sodass es für Unternehmen unerlässlich ist, präventive Sicherheitsstrategien umzusetzen, einschließlich fortschrittlicher Präventionsmethoden und umfassender Schulungen für ihre Teams.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

1. ↑ Formbook (21,2 %) – FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals 2016 entdeckt wurde. Er wird in Untergrund-Hackerforen als Malware as a Service (MaaS) vermarktet, da er über starke Verschleierungstechniken verfügt und relativ günstig ist. FormBook sammelt Anmeldedaten von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß den Anweisungen seines C&C herunterladen und ausführen.
   
2. ↔ Androxgh0st (4,6 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
   
3. ↔ FakeUpdates (3,3 %) -Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

Meist angegriffene Branchen und Sektoren in Deutschland

1.  ↔ Bildung/Forschung

2. ↔ Kommunikation

3. ↑ Transport

Top Mobile Malware

In diesem Monat belegte Joker den ersten Platz der am weitesten verbreiteten Mobile Malware, gefolgt von Anubis und Hiddad.

1. ↔ Joker –Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stiehlt. Darüber hinaus meldet die Malware das Opfer stillschweigend für Premium-Dienste auf Werbewebsites an.
2. ↔ Anubis –Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit ihrer Entdeckung hat sie zusätzliche Funktionen erhalten, darunter die Funktionalität eines Remote Access Trojan (RAT), eines Keyloggers, Audioaufzeichnungsfunktionen und verschiedene Ransomware-Funktionen. Sie wurde in Hunderten verschiedener Anwendungen entdeckt, die im Google Store verfügbar sind.
3. ↑ Hiddad –Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von „Shame Sites“ für Ransomware, die von Erpressergruppen betrieben werden, die Ransomware einsetzen, und auf denen Informationen über Opfer veröffentlicht werden. RansomHub ist in diesem Monat die am weitesten verbreitete Ransomware-Gruppe, die für 17 Prozent der veröffentlichten Angriffe verantwortlich ist, gefolgt von Play mit 10 Prozent und Qilin mit 5 Prozent.

1. RansomHub – RansomHub ist ein Ransomware-as-a-Service (RaaS)-Vorgang, der als umbenannte Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrundforen für Cyberkriminalität auf und erlangte schnell traurige Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen. Diese Malware ist dafür bekannt, ausgefeilte Verschlüsselungsmethoden einzusetzen.
   
2. Play – Play Ransomware, auch bekannt als PlayCrypt, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie sich im System befinden, nutzen sie Techniken wie „Living-off-the-land binaries (LOLBins)“ für Aufgaben wie Datenexfiltration und Diebstahl von Anmeldedaten.
   
3. Qilin – Qilin, auch als Agenda bezeichnet, ist eine kriminelle Ransomware-as-a-Service-Operation, die mit Partnern zusammenarbeitet, um Daten aus kompromittierten Organisationen zu verschlüsseln und zu exfiltrieren und anschließend ein Lösegeld zu verlangen. Diese Ransomware-Variante wurde erstmals im Juli 2022 entdeckt und wird in Golang entwickelt. Agenda ist dafür bekannt, dass sie große Unternehmen und Organisationen mit hohem Wert ins Visier nimmt, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor liegt. Qilin infiltriert seine Opfer in der Regel über Phishing-E-

Am meisten ausgenutzte Sicherheitslücken

1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Eine durch Command Injection over HTTP gemeldete Sicherheitslücke. Ein Angreifer kann dieses Problem aus der Ferne ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde diesem erlauben, beliebigen Code auf dem Zielrechner auszuführen. 

2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es gibt eine Schwachstelle bei der Verzeichnisdurchquerung auf verschiedenen Webservern. Die Schwachstelle ist auf einen Fehler bei der Eingabevalidierung in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung ermöglicht es nicht authentifizierten Angreifern aus der Ferne, beliebige Dateien auf dem anfälligen Server offenzulegen oder darauf zuzugreifen.

3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) –  HTTP-Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen anfälligen HTTP-Header verwenden, um beliebigen Code auf dem Computer des Opfers auszuführen.

(pd/Check Point)