{"id":273258,"date":"2022-09-28T09:23:27","date_gmt":"2022-09-28T07:23:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273258"},"modified":"2023-04-12T03:09:07","modified_gmt":"2023-04-12T01:09:07","slug":"malware-trend-august-2022-emotet-vom-spitzenplatz-verdrngt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/28\/malware-trend-august-2022-emotet-vom-spitzenplatz-verdrngt\/","title":{"rendered":"Malware-Trend August 2022: Emotet vom Spitzenplatz verdrängt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]CheckPoint hat den Global Threat Index f\u00fcr August 2022, eine Top-Liste der Malware-Infektionen, ver\u00f6ffentlicht. F\u00fcr mich erstaunlich: Die bisher h\u00e4ufig erw\u00e4hnte Emotet-Ransomware wurde von ihrem Spitzenplatz, die sie in den vergangenen Monaten einnahm, verdr\u00e4ngt. Nun steht eine Malware mit dem Namen FormBook auf Platz 1, gefolgt von AgentTesla, wobei letztere ebenfalls kein Unbekannter ist. Hier einige Informationen zur Bedrohungslandschaft, die mir von CheckPoint zur Verf\u00fcgung gestellt wurden.<\/p>\n

<\/p>\n

Formbook verbreitetste Malware<\/h2>\n

Laut dem CheckPoint Global Threat Index f\u00fcr August 2022 ist FormBook nun die am weitesten verbreitete Malware und l\u00f6st Emotet ab. Die Emotet-Malware hatte diese Position seit seinem Wiederauftauchen im Januar 2022 inne.<\/p>\n

FormBook ist ein Infostealer, der auf Windows-Betriebssysteme abzielt. Sobald die Malware installiert ist, kann sie Anmeldeinformationen abfangen, Screenshots sammeln, Tastatureingaben \u00fcberwachen und protokollieren sowie Dateien gem\u00e4\u00df seinen Befehlen herunterladen und ausf\u00fchren (C&C). Seit der ersten Entdeckung im Jahr 2016 hat der Infostealer sich einen Namen gemacht und wird in Untergrund-Hackerforen als Malware-as-a-Service (MaaS) vermarktet. Die Malware ist f\u00fcr ihre starken Umgehungstechniken und ihren relativ niedrigen Preis bekannt.<\/p>\n

GuLoader und Joker im Trend<\/h2>\n

Im August 2022 nahm die Aktivit\u00e4t von GuLoader rapide zu, so CheckPoint. Dies f\u00fchrte dazu, dass es sich um die am viertmeisten verbreitete Malware handelte. GuLoader wurde urspr\u00fcnglich zum Herunterladen von Parallax RAT verwendet. Die Malware ist inzwischen aber auch f\u00fcr andere Remote-Access-Trojaner und Infostealer wie Netwire, FormBook und Agent Tesla eingesetzt worden. Die Verbreitung erfolgt in der Regel \u00fcber umfangreiche E-Mail-Phishing-Kampagnen, die das Opfer dazu verleiten, eine b\u00f6sartige Datei herunterzuladen und zu \u00f6ffnen, damit die Malware ihre Arbeit aufnehmen kann.<\/p>\n

Dar\u00fcber hinaus berichtet Check Point Research, dass die Android-Spyware Joker wieder im Gesch\u00e4ft ist und in diesem Monat den dritten Platz auf der Liste der gr\u00f6\u00dften mobilen Malware belegt. Sobald Joker installiert ist, kann er SMS-Nachrichten, Kontaktlisten und Ger\u00e4teinformationen stehlen und das Opfer ohne dessen Zustimmung f\u00fcr kostenpflichtige Premium-Dienste anmelden. Der Anstieg des Sch\u00e4dlings l\u00e4sst sich zum Teil durch einen Anstieg der Kampagnen erkl\u00e4ren, da er k\u00fcrzlich in einigen Anwendungen im Google Play Store<\/a> entdeckt wurde.<\/p>\n

Die weiteren Trends<\/h2>\n

Die obigen Ver\u00e4nderungen zeigen, wie stark sich die Bedrohungslandschaft binnen weniger Wochen \u00e4ndern kann. Die Bedrohungsakteure entwickeln ihre F\u00e4higkeiten und Tools st\u00e4ndig weiter. Privatpersonen und Unternehmen bleibt nichts anderes \u00fcbrig, als sich \u00fcber die neuesten Bedrohungen auf dem Laufenden zu halten und zu wissen, wie man sich sch\u00fctzen kann.<\/p>\n

Festzustellen bleibt auch, dass der Bildungs-\/Forschungssektor nach wie vor die Branche ist, die weltweit am h\u00e4ufigsten ins Visier von Cyberkriminellen ger\u00e4t. Auf den Pl\u00e4tzen zwei und drei der am h\u00e4ufigsten angegriffenen Sektoren liegen Regierung\/Milit\u00e4r und Gesundheitswesen. \"Apache Log4j Remote Code Execution\" ist wieder die am h\u00e4ufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, und hat damit die Schwachstelle \"Web Server Exposed Git Repository Information Disclosure\" (Offenlegung von Git-Repository-Informationen) \u00fcberholt, die 42 Prozent der Unternehmen betroffen hat, so CheckPoint.<\/p>\n

Liste der Malware-Familien in Deutschland<\/h2>\n

FormBook ist in diesem Monat die am weitesten verbreitete Malware, die 4,89 Prozent der Unternehmen in Deutschland sch\u00e4digt, gefolgt von AgentTesla mit einer Auswirkung von 4,21 Prozent und Emotet mit 2,72 Prozent.<\/p>\n

    \n
  1. \u2191 FormBook<\/strong> \u2013 FormBook ist ein Infostealer, der auf Windows-Betriebssysteme abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, \u00fcberwacht und protokolliert Tastatureingaben und kann Dateien gem\u00e4\u00df den Befehlen seines C&C herunterladen und ausf\u00fchren.<\/li>\n
  2. \u2191 AgentTesla<\/strong> – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Informationsdieb fungiert und in der Lage ist, die Tastatureingaben des Opfers und die Systemtastatur zu \u00fcberwachen und zu sammeln, Screenshots zu erstellen und Anmeldeinformationen zu einer Reihe von Software zu exfiltrieren, die auf dem Computer des Opfers installiert ist (einschlie\u00dflich Google Chrome, Mozilla Firefox und dem Microsoft Outlook-E-Mail-Client).<\/li>\n
  3. \u2193 Emotet<\/strong> – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder b\u00f6sartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann \u00fcber Phishing-Spam-E-Mails mit b\u00f6sartigen Anh\u00e4ngen oder Links verbreitet werden.<\/li>\n<\/ol>\n

    Am meisten angegriffene Branchen<\/h3>\n

    In diesem Monat blieb der Sektor Bildung\/Forschung an erster Stelle der weltweit am meisten angegriffenen Branchen, gefolgt von Regierung\/Milit\u00e4r und dem Gesundheitswesen.<\/p>\n

    In Deutschland sieht die Reihenfolge der am meisten attackierten Sektoren wie folgt aus:<\/p>\n

      \n
    1. \u2191 <\/strong>Einzelhandel\/Gro\u00dfhandel<\/li>\n
    2. \u2191 <\/strong>Bildung\/Forschung<\/li>\n
    3. \u2193 <\/strong>Software-Anbieter<\/li>\n<\/ol>\n

      Die am h\u00e4ufigsten ausgenutzten Schwachstellen<\/h3>\n

      In diesem Monat ist \"Apache Log4j Remote Code Execution\" die am h\u00e4ufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen sind, gefolgt von \"Web Server Exposed Git Repository Information Disclosure\", die mit einem Anteil von 42 Prozent vom ersten auf den zweiten Platz zur\u00fcckgefallen ist. Die Schwachstelle \"Web Server Malicious URL Directory Traversal\" bleibt auf dem dritten Platz, mit einer weltweiten Auswirkung von 39 Prozent.<\/p>\n

        \n
      1. \u2191 Apache Log4j Remote Code Execution (CVE-2021-44228)<\/strong> – In Apache Log4j besteht eine Schwachstelle f\u00fcr die Remotecodeausf\u00fchrung. Die erfolgreiche Ausnutzung dieser Schwachstelle k\u00f6nnte einem entfernten Angreifer die Ausf\u00fchrung von beliebigem Code auf dem betroffenen System erm\u00f6glichen.<\/li>\n
      2. \u2193 Web Server Exposed Git Repository Information Disclosure<\/strong> – Es wurde eine Schwachstelle in Git Repository gemeldet, die Informationen preisgibt. Die erfolgreiche Ausnutzung dieser Schwachstelle k\u00f6nnte die unbeabsichtigte Offenlegung von Kontoinformationen erm\u00f6glichen.<\/li>\n
      3. \u2194 Web Server Malicious URL Directory Traversal <\/strong>(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Web Servern. Die Sicherheitsanf\u00e4lligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zur\u00fcckzuf\u00fchren, der die URI f\u00fcr die Verzeichnisdurchquerungsmuster nicht ordnungsgem\u00e4\u00df bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.<\/li>\n<\/ol>\n

        Top Mobile Malware<\/h3>\n

        Diesen Monat ist AlienBot<\/strong> die am weitesten verbreitete mobile Malware, gefolgt von Anubis<\/strong> und Joker<\/strong>.<\/p>\n

          \n
        1. \u2194 AlienBot<\/strong> – AlienBot ist ein Banking-Trojaner f\u00fcr Android, der im Untergrund als Malware-as-a-Service (MaaS) verkauft wird. Er unterst\u00fctzt Keylogging, dynamische Overlays f\u00fcr den Diebstahl von Anmeldedaten sowie SMS-Harvesting zur Umgehung von 2FA. Zus\u00e4tzliche Fernsteuerungsm\u00f6glichkeiten werden durch die Verwendung eines TeamViewer-Moduls bereitgestellt.<\/li>\n
        2. \u2194 Anubis <\/strong>– Anubis ist ein Banking-Trojaner, der f\u00fcr Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zus\u00e4tzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger- und Audioaufzeichnungsfunktionen sowie verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.<\/li>\n
        3. \u2191 Joker<\/strong> – Eine Android-Spyware in Google Play, die entwickelt wurde, um SMS-Nachrichten, Kontaktlisten und Ger\u00e4teinformationen zu stehlen. Au\u00dferdem kann die Malware das Opfer ohne dessen Zustimmung oder Wissen f\u00fcr kostenpflichtige Premium-Dienste anmelden.<\/li>\n<\/ol>\n

          Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud<\/a> Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit \u00fcber Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, dem Intelligence & Research Arm von Check Point Software Technologies. Die vollst\u00e4ndige Liste der weltweit zehn h\u00e4ufigsten Malware-Familien im August finden Sie auf dem Check Point Blog<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

          [English]CheckPoint hat den Global Threat Index f\u00fcr August 2022, eine Top-Liste der Malware-Infektionen, ver\u00f6ffentlicht. F\u00fcr mich erstaunlich: Die bisher h\u00e4ufig erw\u00e4hnte Emotet-Ransomware wurde von ihrem Spitzenplatz, die sie in den vergangenen Monaten einnahm, verdr\u00e4ngt. Nun steht eine Malware mit dem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-273258","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273258","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273258"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273258\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273258"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273258"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273258"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}