Agent Tesla verbreitet sich wie ein Lauffeuer – Emotet erwacht wieder

Die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), veröffentlicht die neuen Ergebnisse des Global Threat Index für September 2019. Vorne weg auf Platz eins marschiert derzeit der erst kürzlich entdeckte Schädling Agent Tesla. 

Er ist auf den Diebstahl von Passwörtern, das Auslesen von Tastatureingaben und weitere Spionage-Tätigkeiten spezialisiert. Im Laufe des Sommers arbeitete sich die Malware durch die Rangliste, nun wurde sie zu einer weit verbreiteten Bedrohung.

Anzeige

Die Forscher von Check Point warnen außerdem, dass der Trojaner Emotet nach beinah dreimonatiger Pause seine Arbeit wieder aufnimmt und mehrere Spam-Kampagnen verbreitet. Im Juni legte das berüchtigte Bot-Netz eine Pause ein, wohl um verbessert zu werden. Seit dem späten August wurde es wieder aktiv. Inzwischen kamen zahlreiche Angriffe, die auf Emotet zurückgehen, ans Licht, die in Deutschland unter anderem das Berliner Kammergericht, Krankenhäuser und einen Juwelier getroffen haben.

Einige der Spam-Kampagnen enthielten E-Mails, die einen Link zum Herunterladen einer infizierten Word-Datei enthielten; andere enthielten das betrügerische Dokument sogar selbst. Beim Öffnen der Datei werden die Opfer aufgefordert, die Makro-Funktionen im Dokument zu starten, die daraufhin die Malware Emotet automatisch installieren.

„Es ist nicht bekannt, warum das Emotet-Botnet drei Monate lang eingestellt wurde, aber wir können davon ausgehen, dass die Erfinder die Funktionen und Fähigkeiten auf den aktuellen Stand der Technik gebracht haben. Umso wichtiger ist es deshalb, dass Unternehmen ihre Mitarbeiter vor den Risiken von Phishing-E-Mails, dem Öffnen von unbekannten E-Mail-Anhängen oder dem Anklicken von dubiosen Links warnen, die nicht von einer vertrauenswürdigen Quelle oder Kontaktperson stammen. Sie sollten besonders Anti-Malware-Lösungen der neuesten Generation einsetzen, die verdächtige Inhalte automatisch aus E-Mails filtern und prüfen können, bevor sie den Anwender erreichen“, erklärt Maya Horowitz, Director Threat Intelligence & Research Produkte bei Check Point.

Die Top 3 ‘Most Wanted’ Malware im September:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

In diesem Monat hat der RAT AgentTesla mit 19 Prozent die Führung übernommen. Auf den Plätzen zwei und drei folgen der Trojaner Emotet mit 13 Prozent und der InfoStealer Lokibot mit 4 Prozent. Emotet hat seinen Rang damit im Vergleich zum Vormonat gehalten – trotz kurzer Pause.

↑ AgentTesla – AgentTesla ist ein fortschrittliche RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.

↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.

↑ Lokibot – Lokibot ist ein Info Stealer, der hauptsächlich über Phishing-E-Mails vertrieben wird und Daten, wie E-Mail-Konten, Passwörter für CryptoCoin-Wallets oder FTP-Server, ausliest.

Top 3 ‘Most Wanted’ Mobile Malware im September:

In diesem Monat war Lotoor erneut die am häufigsten eingesetzte Malware gegen Mobilgeräte, gefolgt von AndroidBauts und Hiddad.

↔ Lotoor – Nutzt Schwachstellen im Android-Betriebssystem aus, um Root-Rechte auf diesen mobilen Geräten zu erlangen.

↔ AndroidBauts – Adware gegen Android, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen kann und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermöglicht.

↑ Hiddad – Dabei handelt es sich um eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter weitergibt. Seine Hauptfunktion ist das Einblenden von Anzeigen. Allerdings ist sie auch in der Lage dazu, sich Zugriff auf wichtige Sicherheitsdetails zu verschaffen, die in das Betriebssystem integriert sind. Diese Funktion ermöglicht es Angreifern sensible Benutzerdaten abzugreifen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Top 3 der ausgenutzten Schwachstellen im September:

In diesem Monat führt die Schwachstelle MVPower DVR Remote Code Execution die Liste der am häufigsten ausgenutzten Schwachstellen mit einer weltweiten Verbreitung von 37 Prozent an. Die Schwachstelle Linux System Files Information Disclosure folgt an zweiter Stelle, dicht gefolgt vom Web Server Exposed Git Repository Information Disclosure, von der 35 Prozent der Unternehmen weltweit betroffen sind.

↑ MVPower DVR Remote Code Execution – Eine Schwachstelle entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann diese Schwachstelle aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

↑ Linux System Files Information Disclosure – Linux-Betriebssystem enthält Systemdateien mit sensiblen Informationen. Wenn sie nicht richtig konfiguriert sind, können entfernte Angreifer die Informationen über solche Dateien einsehen.

↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität. Es liefert Bedrohungsdaten und Angriffs-Trends aus einem globalen Netzwerk von Bedrohungssensoren. Die ThreatCloud-Datenbank enthält über 250 Millionen, für die Bot-Erkennung analysierte, Adressen und mehr als 11 Millionen Malware-Signaturen sowie über 5,5 Millionen infizierte Webseiten. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.

https://research.checkpoint.com/    

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.