Qbot, Guloader und SpinOk führen Mobile Malware-Ranking an

Qbot, der ursprünglich 2008 als Banking-Trojaner auftauchte, wurde stetig verbessert und um zusätzliche Funktionen erweitert, damit er Passwörter, E-Mails und Kreditkartendaten stehlen kann. Er wird in der Regel über Spam-E-Mails verbreitet und verwendet verschiedene Techniken, darunter Anti-VM-, Anti-Debugging- und Anti-Sandbox-Methoden, um Analysen zu erschweren und eine Entdeckung zu vermeiden. Gegenwärtig besteht seine Hauptaufgabe darin, als anderer Malware die Tür zu öffnen und als Herunterlader zu fungieren. Außerdem nistet er sich in Netzwerke ein, wo er als Einfallstor für Ransomware-Gruppen dient.

SpinOk hat sehr beliebte Apps und Spiele infiltriert

In der Zwischenzeit entdeckten Forscher außerdem eine weit verbreitete mobile Malware, die bisher 421 Millionen Downloads verzeichnete. Letzten Monat hat sich das verseuchte Software Development Kit (SDK) SpinOk erstmals an die Spitze der mobilen Malware-Familien gesetzt. Dieses Schadprogramm, das von zahlreichen beliebten Apps zu Marketing-Zwecken eingesetzt wird, hat sehr beliebte Apps und Spiele infiltriert, von denen einige im Google Play Store erhältlich waren. Die SpinOk-Malware ist in der Lage, sensible Informationen von Geräten zu stehlen und Aktivitäten in der Zwischenablage zu überwachen. Sie stellt eine ernsthafte Bedrohung für die Privatsphäre und Sicherheit der Nutzer dar und unterstreicht die Notwendigkeit von Sicherheitsmaßnahmen zum Schutz intimer Daten und mobiler Geräte. Es ist auch eine deutliche Erinnerung an das verheerende Potential von Angriffen auf die Software-Lieferkette.

Supply-Chain-Angriff gegen MOVEit-Benutzer

Im vergangenen Monat wurde außerdem eine groß angelegte Ransomware-Kampagne gestartet, die Unternehmen weltweit in Mitleidenschaft zog. Im Mai 2023 gab die Progress Software Corporation eine Schwachstelle in MOVEit Transfer und MOVEit Cloud (CVE-2023-34362) bekannt, die Zugriff auf die Umgebung ermöglichen konnte. Obwohl die Schwachstelle innerhalb von 48 Stunden gepatcht wurde, nutzten Cyber-Kriminelle, die mit der russischen Ransomware-Gruppe Clop in Verbindung stehen, die Schwachstelle aus und starteten einen Supply-Chain-Angriff gegen MOVEit-Benutzer. Bislang wurden 108 Organisationen – darunter sieben US-Universitäten – nach dem Vorfall öffentlich als getroffen gelistet, wobei Hunderte und Tausende von Datensätzen erbeutet wurden.

„Der MOVEit-Exploit beweist, dass 2023 ein bedeutendes Jahr für Ransomware wird. Prominente Gruppen wie Clop gehen nicht taktisch vor, um ein einzelnes Ziel zu infizieren, sondern sie machen ihre Operationen effizienter, indem sie Software missbrauchen, die in einer Unternehmensumgebung weit verbreitet ist. Über diesen Ansatz können sie mit einem einzigen Angriff viele Hunderte von Opfern erreichen“, sagt Maya Horowitz, VP Research bei Check Point Software. „Dieses Angriffsmuster unterstreicht, wie wichtig es für Unternehmen ist, eine mehrschichtige IT-Sicherheitsarchitektur zu implementieren und Patches schnell zu installieren, wenn Schwachstellen aufgedeckt werden.“

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

Qbot war im letzten Monat weiterhin die am weitesten verbreitete Malware mit einer Auswirkung von 8 Prozent auf Organisationen in Deutschland, dicht gefolgt von Guloader, der im Vergleich zum Vormonat weiter aufholt und mit einer nationalen Auswirkung von fast 7 Prozent Formbook mit einer etwas geringeren Verbreitung von rund 4 Prozent überholt hat.

1. ↔ Qbot
   Qbot AKA Qakbot ist eine Mehrzweck-Malware, die erstmals im Jahr 2008 auftauchte. Sie wurde entwickelt, um die Anmeldedaten eines Benutzers zu stehlen, Tastatureingaben aufzuzeichnen, Cookies von Browsern zu stehlen, Bankaktivitäten auszuspionieren und zusätzliche Malware zu installieren. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und die Erkennung zu umgehen.
2. ↑ Guloader
   ist ein Downloader, der seit Dezember 2019 weit verbreitet ist. Als er zum ersten Mal auftauchte, wurde GuLoader zum Herunterladen von Parallax RAT verwendet, wurde aber auch für andere Fernzugriffstrojaner und Infodiebe wie Netwire, FormBook und Agent Tesla eingesetzt.
3. ↓ Formbook
   ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Untergrund-Hacking-Foren als Malware as a Service (MaaS) vermarktet, da er über starke Umgehungstechniken und einen relativ niedrigen Preis verfügt. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien herunterladen und ausführen, wenn es von seinem C&C angewiesen wird.

Top 3 Schwachstelle

Im vergangenen Monat war „Web Servers Malicious URL Directory Traversal“ die am häufigsten ausgenutzte Schwachstelle, die 51 Prozent der Unternehmen weltweit betraf, gefolgt von „Apache Log4j Remote Code Execution“ mit 46 Prozent der Unternehmen weltweit. „HTTP Headers Remote Code Execution“ war die am dritthäufigsten genutzte Schwachstelle mit einer weltweiten Auswirkung von 44 Prozent.

1. ↔ Web Server Malicious URL Directory Traversal
   Es existiert eine Directory Traversal Schwachstelle auf verschiedenen Web Servern. Die Schwachstelle ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Directory Traversal Patterns nicht richtig bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht-authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228)
   Es gibt eine Schwachstelle in Apache Log4j, durch die Remotecode ausgeführt werden kann. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf dem betroffenen System ermöglichen.
3. ↔ HTTP-Header Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)
   HTTP-Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen anfälligen HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.

Top 3 Mobile Malware

Im letzten Monat belegte SpinOk den ersten Platz der am häufigsten verbreiteten mobilen Malware, gefolgt von Anubis und AhMyth.

1. ↑ SpinOk
   ist ein Android-Softwaremodul, das als Spionageprogramm arbeitet. Es sammelt Informationen über die auf den Geräten gespeicherten Dateien und ist in der Lage, diese an böswillige Bedrohungsakteure weiterzuleiten. Das bösartige Modul wurde in mehr als 100 Android-Apps gefunden und bis zum 23. Mai mehr als 421.000.000-mal heruntergeladen.
2. ↓ Anubis
   ist ein Banking-Trojaner, der für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
3. ↓ AhMyth
   ist ein Remote-Access-Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Nutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

1. ↑ IT-Service Provider/Managed Service Provider (ISP/MSP)
2. ↑ Bildung/Forschung (Education/Research)
3. ↓ Gesundheitswesen (Healthcare) 

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies. Die vollständige Liste der zehn häufigsten Malware-Familien im Juni gibt es im Check Point Blog.