Malware September 2024: Formbook auf Windows-Geräten

[English]Kurzer Nachtrag zum Thema Sicherheit und Malware-Risiken. Von Sicherheitsanbieter Check Point liegt mir seit Mitte Oktober 2024 deren Malware-Report für den September 2024 vor. Windows-Systeme in Deutschland waren wohl von der Malware Formbook besonders betroffen. Der Infostealer löste hierzulande CloudEye von der Spitze der aktivsten Malware ab und machte ganze 21 Prozent aller Infektionen aus. Dazu geriet das Transportwesen wieder zunehmend ins Visier von Hackern. Hier ein kurzer Überblick.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein  Cloud-basierter Anbieter von Cybersicherheit, hat seinen Global Threat Index für September 2024 von Check Point Research veröffentlicht. Der neue Bericht zeigt einen Trend hin zu KI-gesteuerter Malware und zeugt von der anhaltend dominanten Bedrohung durch Ransomware.

Formbook im Trend

In Deutschland spielte die im August 2024 noch dominante Malware CloudEye (Infostealer) bereits im September keine Rolle mehr und wurde durch Formbook abgelöst. Dieser Schädling machte aus dem Stand wieder 21 Prozent aller Malware-Infektionen aus.

Auf den Plätzen zwei und drei hielten sich Androxgh0st (4,6 Prozent) und FakeUpdates (3,3 Prozent). Zudem ist das Transportwesen hierzulande wieder stärker Ziel von Cyber-Angriffen geworden. Das Gesundheitssystem ist erstmals seit langem nicht mehr unter den drei meistbetroffenen Sektoren.

KI-Support in der AsyncRAT-Malware-Entwicklung

Im vergangenen Monat entdeckten die Sicherheitsforscher, dass Hacker mutmaßlich KI zur Entwicklung eines Skripts verwendeten, das AsyncRAT-Malware verbreitet. Die Malware rangiert nun auf Platz 10 der globalen Top-Malware-Liste.

Die von der Malware verwenden Methoden beinhaltetem HTML-Schmuggel, bei dem eine passwortgeschützte ZIP-Datei mit bösartigem VBScript-Code gesendet wurde, um eine Infektionskette auf dem Gerät des Opfers auszulösen. Der gut strukturierte und kommentierte Code deutete auf eine Beteiligung von KI hin.

Nach der vollständigen Ausführung wird AsyncRAT installiert, wodurch der Angreifer in der Lage ist, Tastenanschläge aufzuzeichnen, das infizierte Gerät fernzusteuern und zusätzliche Malware zu installieren. Diese Entdeckung unterstreicht den zunehmenden Trend, dass Cyber-Kriminelle mit begrenzten technischen Fähigkeiten künstliche Intelligenz einsetzen, um Malware einfacher zu erstellen.

Maya Horowitz, VP of Research bei Check Point Software Technologies, kommentiert die Trends: "Die Tatsache, dass Hacker damit begonnen haben, generative KI als Teil ihrer Angriffsinfrastruktur zu nutzen, verdeutlicht die kontinuierliche Entwicklung der Taktiken bei Cyber-Angriffen. Hacker nutzen zunehmend alle verfügbaren Technologien, um ihre Operationen zu optimieren, sodass es für Unternehmen unerlässlich ist, präventive Sicherheitsstrategien umzusetzen, einschließlich fortschrittlicher Präventionsmethoden und umfassender Schulungen für ihre Teams."

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

• ↑ Formbook (21,2 %) – FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals 2016 entdeckt wurde. Er wird in Untergrund-Hackerforen als Malware as a Service (MaaS) vermarktet, da er über starke Verschleierungstechniken verfügt und relativ günstig ist. FormBook sammelt Anmeldedaten von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß den Anweisungen seines C&C herunterladen und ausführen.
• ↔ Androxgh0st (4,6 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
• ↔ FakeUpdates (3,3 %) – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

Die am meisten angegriffene Branchen und Sektoren in Deutschland sind:

• 1. ↔ Bildung/Forschung
• 2. ↔ Kommunikation
• 3. ↑ Transport

Top Mobile Malware

In Monat September 2024 belegte Joker den ersten Platz der am weitesten verbreiteten Mobile Malware, gefolgt von Anubis und Hiddad.

• ↔ Joker – Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stiehlt. Darüber hinaus meldet die Malware das Opfer stillschweigend für Premium-Dienste auf Werbewebsites an.
• ↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit ihrer Entdeckung hat sie zusätzliche Funktionen erhalten, darunter die Funktionalität eines Remote Access Trojan (RAT), eines Keyloggers, Audioaufzeichnungsfunktionen und verschiedene Ransomware-Funktionen. Sie wurde in Hunderten verschiedener Anwendungen entdeckt, die im Google Store verfügbar sind.
• ↑ Hiddad – Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von "Shame Sites" für Ransomware, die von Erpressergruppen betrieben werden, die Ransomware einsetzen, und auf denen Informationen über Opfer veröffentlicht werden. RansomHub ist in diesem Monat die am weitesten verbreitete Ransomware-Gruppe, die für 17 Prozent der veröffentlichten Angriffe verantwortlich ist, gefolgt von Play mit 10 Prozent und Qilin mit 5 Prozent.

• RansomHub – RansomHub ist ein Ransomware-as-a-Service (RaaS)-Vorgang, der als umbenannte Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrundforen für Cyberkriminalität auf und erlangte schnell traurige Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen. Diese Malware ist dafür bekannt, ausgefeilte Verschlüsselungsmethoden einzusetzen.
• Play – Play Ransomware, auch bekannt als PlayCrypt, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie sich im System befinden, nutzen sie Techniken wie „Living-off-the-land binaries (LOLBins)" für Aufgaben wie Datenexfiltration und Diebstahl von Anmeldedaten.
• Qilin – Qilin, auch als Agenda bezeichnet, ist eine kriminelle Ransomware-as-a-Service-Operation, die mit Partnern zusammenarbeitet, um Daten aus kompromittierten Organisationen zu verschlüsseln und zu exfiltrieren und anschließend ein Lösegeld zu verlangen. Diese Ransomware-Variante wurde erstmals im Juli 2022 entdeckt und wird in Golang entwickelt. Agenda ist dafür bekannt, dass sie große Unternehmen und Organisationen mit hohem Wert ins Visier nimmt, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor liegt. Qilin infiltriert seine Opfer in der Regel über Phishing-E-Mails.

Am häufigsten ausgenutzte Schwachstellen

Interessant fand ich die Auflistung der m meisten ausgenutzte Sicherheitslücken bei Angriffen:

• 1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Eine durch Command Injection over HTTP gemeldete Sicherheitslücke. Ein Angreifer kann dieses Problem aus der Ferne ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde diesem erlauben, beliebigen Code auf dem Zielrechner auszuführen.
• 2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es gibt eine Schwachstelle bei der Verzeichnisdurchquerung auf verschiedenen Webservern. Die Schwachstelle ist auf einen Fehler bei der Eingabevalidierung in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung ermöglicht es nicht authentifizierten Angreifern aus der Ferne, beliebige Dateien auf dem anfälligen Server offenzulegen oder darauf zuzugreifen.
• 3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – HTTP-Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen anfälligen HTTP-Header verwenden, um beliebigen Code auf dem Computer des Opfers auszuführen.

Die vollständige Liste der zehn größten Malware-Familien im September 2024 finden Sie im Check Point Blog.

USDoD-Hacker in Brasilien verhaftet

In diesem Kontext können Cyberangreifer sich aber nicht mehr sicher sein, ungeschoren davon zu kommen. Die Tage hatte ich im Beitrag US-Justiz unterbricht DDoS-Angriffe von Anonymous Sudan, Anklage gegen zwei Personen von einem Erfolg der US-Justiz gegen eine spezielle Hackergruppe berichtet.

Es gab noch einen weiteren Erfolg zu vermelden. Anfang 2024 kam es bei National Public Data, einem Online-Dienst für Background-Checks und Betrugsprävention, zu einer schwerwiegenden Datenpanne. Dabei wurden mutmaßlich bis zu 2,9 Milliarden Datensätze mit hochsensiblen persönlichen Daten von bis zu 170 Millionen Menschen in den USA, dem Vereinigten Königreich und Kanada offengelegt. Microsoft hat beispielsweise hier eine Zusammenfassung veröffentlicht.

Die Kollegen von Bleeping Computer haben kürzlich in diesem Artikel berichtet, dass ein Hacker namens USDoD von der brasilianischen Polícia Federal im Rahmen der "Operation Data Breach" verhaftet worden sei. USDoD wird mit dem Datenleck bei National Public Data und dem FBI-Portal InfraGard (Portal zum Austausch von Bedrohungsdaten) in Verbindung gebracht.

USDoD, tritt auch als EquationCorp auf, blickt wohl auf eine lange Geschichte von Datenlecks zurück, bei denen es ihm gelungen ist, Daten abzuziehen. Diese hat er dann in Hackerforen verbreitet, während er die Opfer verspottete.