AgentTesla, ein seit 2014 aktives, hochentwickeltes Remote Access Tool (RAT), das als Keylogger fungiert und Passwörter entwendet, ist eine der virulentesten Gefahren und wird aktuell –laut Cyber-Sicherheitsbericht des Anbieters digitaler Sicherheitslösungen Check Point – lediglich von einem weiteren Fernzugriffs-Tool, dem Tojaner NanoCore, übertroffen sowie von dem notorisch bekannten Banking-Trojaner Qbot. AgentTesla kann die Tastatureingaben und die Zwischenablage eines Opfers überwachen und dort Daten abgreifen, Screenshots aufzeichnen und Anmeldeinformationen für eine Vielzahl an Software, die das Opfer auf seinem Computer installiert hat, auslesen, so etwa für Browser-Anwendungen in Google Chrome und Mozilla Firefox oder auch für den Microsoft Outlook E-Mail-Client. Die Beleibtheit der Malware spiegelt sich dabei auch darin wider, dass AgentTesla auf verschiedenen Darknet Online-Märkten und Hacking-Foren gehandelt wird. NanoCore dagegen ist ein erstmals 2013 in Erscheinung getretener Trojaner, der es auf Benutzer von Windows-Betriebssystemen abgesehen hat und seitdem in verschiedenen Versionen zirkuliert, denen aber gemeinsam ist, dass sie allesamt grundlegende Plugins und Funktionen wie Bildschirmaufnahme, Kryptowährungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen enthalten.
Die unbestrittene Nummer eins unter der von Cyber-Kriminellen genutzten Schad-Software ist aber, wie schon zuvor, der Banking-Trojaner Qbot. Auch als Qakbot bekannt, ist dieser Banking-Trojaner schon seit 2008 virulent. Qbot wurde speziell dafür entwickelt, Bankdaten und Tastatureingaben eines Benutzers zu entwenden. Der Trojaner, der häufig über Spam-E-Mails verbreitet wird, verwendet inzwischen, um die Analyse zu erschweren und die Erkennung zu umgehen, mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken. „Die erneute Kampagne von Qbot erinnert uns daran, wie wichtig es ist, eine umfassende Cybersicherheit einzurichten und den Ursprung und die Absicht einer E-Mail mit der gebotenen Sorgfalt zu prüfen“, kommentiert Maya Horowitz, VP Research bei Check Point Software, die neueste Entwicklung.
Bei der umfangreichen Spam-Kampagne, die dem Trojaner Qbot Platz eins im Bedrohungsindex im Monat April bescherte, verwendeten die cyber-kriminellen Urheber laut Check Point eine neue Übertragungsmethode, bei der Zielpersonen eine E-Mail erhalten, in deren Anhang sich geschützte PDF-Dateien befinden. Sobald die PDFs heruntergeladen sind, wird die Qbot-Malware auf dem Endgerät installiert. Das Check-Point-Expertenteam weist darauf hin, dass diese Malspam in mehreren Sprachen versendet wurde, was bedeutet, dass Organisationen weltweit angegriffen werden. „Cyberkriminelle arbeiten ständig an neuen Methoden zur Umgehung von Beschränkungen, und diese Kampagnen sind ein weiterer Beweis dafür, wie sich Malware anpasst, um zu überleben“, so Check-Point-Expertin Horowitz.
