„AgentTesla“ attackiert deutsche Computer

Check Point Research, die Threat-Intelligence-Abteilung von Check Point Software, entdeckt im Rahmen des Global-Threat-Index für Juli 2019 neue Schadprogramme gegen Unternehmen weltweit. Nach Agent Smith attackiert nun „AgentTesla“ deutsche Geräte und sortiert sich sofort auf Rang zwei der gefährlichsten Bedrohungen ein. Dabei handelt es sich um einen Remote-Access-Trojan (RAT), der vor allem als Keylogger und Passwort-Dieb eingesetzt wird. Seit 2014 treibt die Malware ihr Unwesen und kann vielfältige Informationen aus dem Rechner des Opfers auslesen, wie die Eingaben der Tastatur. „AgentTesla“ wird am Schwarzmarkt für nur 15 bis 69 Dollar je Lizenz vertrieben.

Auf Platz drei folgt zudem ein weiterer Neuling, Nanocore, ebenfalls ein RAT, der bevorzugt Windows-Systeme befällt und sämtliche Standard-Befehle eines RAT beherrscht, wie Krypto-Mining oder Fernzugriff. Unangefochten aber hält sich Emotet an der Spitze und macht deutschen Unternehmen weiterhin zu schaffen.

Hinzu kommt eine gefährliche Schwachstelle, die die Sicherheitsforscher in „OpenDreamBox 2.0.0 WebAdmin Plugin“ gefunden haben. Sie betrifft weltweit 32 Prozent der Unternehmen. Die Sicherheitslücke erlaubt es Angreifern über den Fernzugriff Befehlszeilen auf den anvisierten Rechnern auszuführen. Jedoch handelt es sich bei Attacken auf diese Lücke stets um nur einen von vielen Angriffswegen, die gleichzeitig erfolgen können und vornehmlich auf IoT-Geräte abzielen. Ins Visier gerät dabei besonders die Schwachstelle „MVPower DVR Remote Code Execution“. Die Vorgehensweise der Angreifer weißt Ähnlichkeiten mit dem berüchtigten Mirai-Botnetz-Angriff auf.

Maya Horowitz, Director Threat Intelligence & Research and Products bei Check Point

„Angreifer versuchen stets, neue Schwachstellen auszunutzen, sobald sie gefunden wurden. Unternehmen haben dann überhaupt nicht die Möglichkeit, diese zu schließen. Der Opendreambox-Fehler bildet keine Ausnahme. Dennoch ist es überraschend, dass fast ein Drittel der Unternehmen betroffen sind und ist ein Beleg dafür, dass Firmen solche Schwachstellen schnell fixen müssen, um sich wirksam zu schützen“, erklärt Maya Horowitz, Director Threat Intelligence & Research and Products bei Check Point.

Im Juli fielen außerdem die Krypto-Mining-Schadprogramme im Ranking stark zurück, obwohl sie mehrere Monate lang den Nutzern zu schaffen machten. Besonders die Verbreitung und Aktivitäten von Cryptoloot verringerten sich.

„Der starke Rückgang von Cryptoloot ist ebenfalls interessant. In den letzten anderthalb Jahren war der Miner sehr häufig in den Top-Malware-Listen. Er wurde, weltweit betrachtet, zur zweithäufigsten Malware-Variante der ersten Jahreshälfte 2019 gewählt. Wir glauben, dass der Rückgang mit dem großen Rivalen Coinhive zusammenhängt, der seine Tätigkeit im Frühling 2019 einstellte. Kriminelle verlassen sich mittlerweile auf alternative Krypto-Mining-Malware wie XMRig und Jsecoin“, führt Horowitz aus.

 

Die ‚Most Wanted‘ Malware im Juli 2019:
(Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.)

  1. ↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. AgentTesla – AgentTesla ist ein fortschrittliche RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.
  3. ↑ NanoCore NanoCore ist ein Fernzugriffs-Trojaner, der seit 2013 in aller Munde ist und sich gegen Windows-Betriebssysteme richtet. Alle Versionen des RAT verfügen über Basis-Plugins und Funktionalitäten wie Screen-Capture, Krypto-Currency-Mining oder Remote-Control.

 

Die 3 ‚Most Wanted‘ Mobile-Malware im Juli 2019:
Im Juli war Lotoor erneut die am weitesten verbreitete Schadsoftware gegen mobile Geräte, gefolgt von AndroidBauts und Piom – zwei neuen mobile Schadprogramme in der Top 3 Liste auf den Plätzen 2 und 3.

  1. Lotoor – Nutzt Schwachstellen im Android-Betriebssystem aus, um Root-Rechte auf diesen mobilen Geräten zu erlangen.
  2.   ↑ AndroidBauts – Adware gegen Android, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen kann und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermöglicht.
  3.   ↑ Piom – Adware, die das Browser-Verhalten des Benutzers überwacht und unerwünschte Werbung einblendet, basierend auf dieser Analyse der Webaktivitäten.

 

Die 3 ‚Most Exploited‘ Schwachstellen im Juli 2019:
Im Juli hielten sich die SQL-Injections-Angriffs-Techniken weiterhin – mit einem leichten Rückgang – auf Platz 1 der Liste der häufigsten, ausgenutzten Schwachstellen, bei einer globalen Auswirkung von 46 Prozent. OpenSSL TLS DTLS Heartbeat-Information-Disclosure verteidigte seinen zweiten Platz mit 41 Prozent. Knapp dahinter folgt eine neue Schachstelle unter den Top 3 mit 40 Prozent, MVPower DVR Remote Code Execution.

  1. ↔ SQL Injection (verschiedene Techniken) Dieser Angriff bezeichnet die Ausnutzung einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Die Schwachstelle entsteht durch mangelnde Maskierung oder Überprüfung von Metazeichen (;) in Benutzereingaben.
  2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
  3. ↑ MVPower DVR Remote Code Execution – Eine Sicherheitslücke während der Ausführung von Remote-Code besteht in MVPower-DVR-Geräten. Ein Angreifer von außen kann diese Schwachstelle nutzen, um beliebigen Code im betroffenen Router über eine selbst gebastelte Anfrage auszuführen.

Den kompletten Blog-Beitrag der „Most Wanted Malware im Juli 2019“ findet sich im Check Point Blog

#Netzpalaver #CheckPoint