{"id":290661,"date":"2024-01-18T00:02:00","date_gmt":"2024-01-17T23:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290661"},"modified":"2024-01-17T18:18:50","modified_gmt":"2024-01-17T17:18:50","slug":"top-malware-dezember-2023-qbot-und-nanocore","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/18\/top-malware-dezember-2023-qbot-und-nanocore\/","title":{"rendered":"Top Malware Dezember 2023: Qbot und Nanocore"},"content":{"rendered":"

\"SicherheitSicherheitsspezialist Check Point Software Technologies hat f\u00fcr Dezember 2023 wieder eine Statistik der Top Malware-Bedrohungen erstellt. Interessant ist, dass Qbot zur\u00fcck ist, obwohl seine Infrastruktur von Strafverfolgern zerschlagen wurde. Und in Deutschland ist der Remote Access Trojaner (RAT) Nanocore eine der am h\u00e4ufigsten gefundene Malware. <\/p>\n

<\/p>\n

Qbot ist zur\u00fcck<\/h2>\n

Im globalen Bedrohungsindex f\u00fcr Dezember 2023 halten die Forscher von Check Point fest, dass die Malware Qbot zur\u00fcck ist. Ich hatte im Blog-Beitrag FBI und Europol zerschlagen mit Partnern das Qakbot-Netzwerk<\/a> \u00fcber diese Zerschlagungsaktion berichtet. Im Dezember 2023 entdeckte Microsoft eine neue Kampagne (siehe Microsoft entdeckt Qakbot-Phishing-Kampagne (Dez. 2023)<\/a>. Damit ist Qakbot oder Qbot vier Monate nach der Zerschlagung seiner Infrastruktur durch die US-amerikanischen und internationalen Strafverfolgungsbeh\u00f6rden im Rahmen der Operation Duck Hunt im August 2023, wieder auferstanden. In der Zwischenzeit ist der Bildungs- und Forschungssektor die in Deutschland am st\u00e4rksten betroffene Branche geworden. <\/p>\n

Im Dezember 2023 wurde die Qbot-Malware von Hackern als Teil eines Phishing-Angriffs eingesetzt, der auf Unternehmen im Hotel- und Gastronomie-Gewerbe zielte. Bei der Kampagne gaben sich die Hacker als die US-amerikanische Internal Revenue Service (IRS) aus und versendeten betr\u00fcgerische E-Mails mit PDF-Anh\u00e4ngen, die eingebettete URLs enthielten und mit einem Microsoft-Installationsprogramm verkn\u00fcpft waren. Einmal aktiviert, l\u00f6ste dies eine unsichtbare Version von Qbot aus, die eine eingebettete Dynamic Link Library (DLL) nutzte. <\/p>\n

Bevor Qbot im August 2023 aus dem Verkehr gezogen wurde, dominierte es den Bedrohungsindex und rangierte 10 Monate in Folge unter den drei am weitesten verbreiteten Malwares. Obwohl Qbot nicht wieder auf die Liste zur\u00fcckgekehrt ist, wird sich nach dieser heimlichen Auferstehung w\u00e4hrend der n\u00e4chsten Monaten zeigen, ob der Sch\u00e4dling wieder denselben Bekanntheitsgrad erlangen kann, den er zuvo rinne hatte. <\/p>\n

\"Die Tatsache, dass Qbot weniger als vier Monate nach der Zerschlagung seiner Verbreitungsinfrastruktur wieder aufgetaucht ist, erinnert uns daran, dass wir zwar Malware-Kampagnen unterbrechen k\u00f6nnen, die dahinterstehenden Akteure sich jedoch mit neuen Techniken der Lage anpassen werden\", so Maya Horowitz, VP Research bei Check Point Software. \"Deshalb sollten Unternehmen einen pr\u00e4ventiven Ansatz bei der Endger\u00e4tesicherheit verfolgen und den Ursprung sowie die Absicht einer E-Mail mit der gebotenen Sorgfalt pr\u00fcfen.\" <\/p>\n

Top-Ten der Malware<\/h2>\n

In ihrer Statistik f\u00fchren die Sicherheitsforscher von Check Point Research folgende Malware als Top 3 auf:<\/p>\n

    \n
  1. Nanocore \u2013 Ein Fernzugriffs-Trojaner (RAT), der auf Benutzer von Windows-Betriebssystemen zielt und erstmals 2013 beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins  und Funktionen, wie Bildschirmaufnahmen, Krypto-W\u00e4hrungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen. <\/li>\n
  2. Formbook – E Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen  relativ niedrigen Preis hat. Formbook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, \u00fcberwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausf\u00fchren. <\/li>\n
  3. Remcos ist ein RAT, der erstmals 2016 in der freien Wildbahn auftauchte. Remcos verbreitet sich \u00fcber b\u00f6sartige Microsoft Office-Dokumente, die an SPAM-E-Mails angeh\u00e4ngt sind, und ist so konzipiert,  dass er die UAC-Sicherheit von Microsoft Windows umgeht und Malware mit hohen Berechtigungen ausf\u00fchrt. <\/li>\n<\/ol>\n

    Top 3 Schwachstellen <\/h2>\n

    Im vergangenen Monat waren Apache Log4j Remote Code Execution (CVE-2021-44228) undWeb Servers Malicious URL Directory Traversal die am h\u00e4ufigsten ausgenutzten Schwachstellen, von denen 46 Prozent der Unternehmen weltweit betroffen waren, gefolgt von Zyxel ZyWALL Command Injection (CVE-2023-28771) mit einem weltweiten Anteil von 43 Prozent. <\/p>\n

      \n
    1. Apache Log4j Remote Code Execution (CVE-2021-44228) – In Apache Log4j besteht eine Schwachstelle f\u00fcr Remote Code Execution. Die erfolgreiche
      Ausnutzung dieser Schwachstelle k\u00f6nnte einem entfernten Angreifer die Ausf\u00fchrung von beliebigem Code auf dem betroffenen System erm\u00f6glichen.<\/li>\n
    2. Webserver Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530,  CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Es besteht eine Directory Traversal-Schwachstelle auf verschiedenen Webservern. Die Sicherheitsanf\u00e4lligkeit ist auf einen Eingabevalidierungsfehler  in einem Webserver zur\u00fcckzuf\u00fchren, der die URI f\u00fcr die Verzeichnisdurchquerungsmuster nicht ordnungsgem\u00e4\u00df bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht-authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder  darauf zuzugreifen. <\/li>\n
    3. Zyxel ZyWALL Command Injection (CVE-2023-28771) – Eine Command Injection-Schwachstelle existiert in Zyxel ZyWALL. Eine erfolgreiche Ausnutzung
      dieser Schwachstelle w\u00fcrde entfernten Angreifern erlauben, beliebige Betriebssystembefehle auf dem betroffenen System auszuf\u00fchren. <\/li>\n<\/ol>\n

      Top 3 Mobile Malware <\/h2>\n

      Im vergangenen Monat stand Anubis weiterhin an erster Stelle der am h\u00e4ufigsten verbreiteten Handy-Malware, gefolgt von AhMyth und der wieder eingestiegenen Android-MalwareHiddad. <\/p>\n

        \n
      1. Anubis ist eine Banking-Trojaner-Malware, die f\u00fcr Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zus\u00e4tzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen  und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt. <\/li>\n
      2. AhMyth ist ein Remote-Access-Trojaner (RAT), der 2017 entdeckt wurde. Er wird \u00fcber Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Nutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Ger\u00e4t sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchf\u00fchren, was in der Regel zum Stehlen sensibler Informationen genutzt wird. <\/li>\n
      3. Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store ver\u00f6ffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen. <\/li>\n<\/ol>\n

        Top 3 der angegriffenen Branchen und Bereiche in Deutschland <\/h2>\n
          \n
        1. Bildung\/Forschung <\/li>\n
        2. Gesundheitswesen <\/li>\n
        3. ISP\/MSP <\/li>\n<\/ol>\n

          Der Global Threat Impact Index und die ThreatCloudMap von Check Point basieren auf der ThreatCloud-Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit \u00fcber Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies.   <\/p>\n

          Die vollst\u00e4ndige Liste der zehn h\u00e4ufigsten Malware-Familien im Dezember findet sich auf dieser Check Point-Seite<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"

          Sicherheitsspezialist Check Point Software Technologies hat f\u00fcr Dezember 2023 wieder eine Statistik der Top Malware-Bedrohungen erstellt. Interessant ist, dass Qbot zur\u00fcck ist, obwohl seine Infrastruktur von Strafverfolgern zerschlagen wurde. Und in Deutschland ist der Remote Access Trojaner (RAT) Nanocore eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-290661","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290661","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290661"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290661\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290661"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290661"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290661"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}